Versions Compared

Old Version 10

changes.mady.by.user Oksana Serus

Saved on

compared with

New Version 11

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Warning
Сертификат RADIUS-сервера WNAM не является SSL-сертификатом, который возможно использовать для веб-интерфейса системы WNAM, и наоборот. В обычном сертификате веб-сервера недостаточно важных полей и свойств для полноценной работы корпоративной авторизации. 

Любая экосистема сертификатов (PKI) строится на основе:

  • самоподписанного само-подписанного корневого сертификата (сертификат должен быть в хранилище доверенных корневых сертификатов подключающегося сетевого устройства, он попадает в хранилище из операционной системы или её обновлений, устанавливается вручную через MDM-систему или через групповую политику домена);
  • выпущенного экосистемой PKI сертификата сервера (сертификат используется RADIUS-сервером WNAM для установления TLS-соединения с клиентом);
  • выпущенного экосистемой PKI (прямо или косвенно) клиентского сертификата (используется только для EAP-TLS авторизации).

Система WNAM позволяет подготовить и выпустить собственные корневой сертификат, сертификаты серверов, клиентские сертификаты, а также импортировать корневые и серверные сертификаты, выпущенные вашим центром сертификатов PKI. При этом поддерживается одновременная работа и с теми, и с другими сертификатами, но, обычно, нона практике используется либо встроенный в WNAM центр PKI, либо ваш собственный сертификатцентр сертификатов предприятия .

При первом запуске системы WNAM хранилище сертификатов пусто, и корпоративная авторизация не будет работать, пока в системе не появится хотя бы один корневой сертификат и хотя бы один сертификат сервера. Сертификаты системы настраиваются в административном интерфейсе системы WNAM в разделе "Конфигурация" → "Удостоверяющий центр". Если сертификаты в указанном разделе отсутствуют, автоматически будет предложено инициализировать новый (встроенный) Удостоверяющий Центр.

Для создания удостоверяющего Центра необходимо заполнить предложенную форму. При этом будет создано три сертификата: корневой, сертификат RADIUS-сервера и промежуточный сертификат, который будет использоваться для подписи выдаваемых сертификатов клиентам. Все три сертификата создаются вместе с закрытыми ключами и хранятся в БД WNAM в коллекции wnam_db/certificateAuthority в зашифрованном виде.

Их создание займет порядка 10 секунд, а в логе wnam.log появятся записи вида:

...

Созданные сертификаты будут отражены отображены в таблице.

Зеленый цвет означает, что с сертификат валиден (не истек), наличие "ключа" (значок напротив сертификата) указывает на наличие закрытого ключа. Сертификат можно скачать и посмотреть его свойства. Звёздочкой отмечен предпочтительный (по умолчанию) сертификат типа SERVER или REGCENTER, что позволяет выбирать один из них, если их несколько.

Запрос на экспорт сертификата с закрытым ключом (в формате PFX) отобразит ещё одно окно, в котором необходимо задать пароль на экспортируемый контейнер типа PKCS#12 (по умолчанию "123456").

Для распространения сертификата клиентам понадобится, как минимум, сертификат удостоверяющего центра (без ключа).

...

Авто-создание собственного Центра можно пропустить, закрыв соответствующее окно создания сертификата. В таком случае необходимо импортировать в систему WNAM, как минимум, два сертификата:

...

  • для импорта корневого сертификата - выбрать файл сертификата в бинарном (DER) или текстовом BASE64 (PEM) формате;
  • для импорта сертификата сервера необходимо выполнить одно из двух действий:
    • выбрать файл сертификата в бинарном (DER) или текстовом BASE64 (PEM) формате, а также файл закрытого ключа сертификата (в текстовом BASE64 формате в контейнере PKCS#8 или PKCS#1), при этом ключ должен быть без пароля;
    • выбрать файл контейнера сертификата в бинарном PKCS#12 (PXF или P12) формате, и задать пароль на контейнер.

...