3. Налаштування автентифікації з шлюзом безпечного обміну

• 3.1 Створення сертифікату
• 3.2 Додавання сертифікату у Postman
• 3.3. Додавання сертифікату на шлюз безпечного обміну

3.1 Створення сертифікату

В якості сертифікату можна використовувати самопідписаний TLS сертифікат, створений за допомогою утиліти OpenSSL. Такий сертифікат можна створити засобами робочої станції адміністратора.

Для цього необхідно виконати наступні дії:

1. Відкрити консоль (термінал) робочої станції адміністратора за допомогою натиснення комбінації клавіш «Ctrl+Alt+T».

2. Створити особистий ключ у за допомогою виконання наступної команди:

openssl genrsa -des3 -out domain.key 2048

Під час виконання команди необхідно двічі ввести пароль для файлу особистого ключа.

Після виконання команди в директорії (за замовчуванням це /home/{username}) з'явиться файл особистого ключа domain.key.

3. Створити запит на підпис сертифіката відкритого ключа (CSR) за допомогою виконання наступної команди:

openssl req -key domain.key -new -out domain.csr

При виконанні даної команди необхідно ввести пароль заданий на попередньому кроці, після чого необхідно вказати наступні дані:

- Country Name (2 letter code) [AU] – скорочений код країни – UA,

- State or Province Name (full name) [Some-State]: – назва області, наприклад Kyiv oblast,

- Locality Name (eg, city) []: — назва міста, наприклад Kyiv,

- Organization Name (eg, company) [Internet Widgits Pty Ltd]: — скорочена назва організації, наприклад Comp,

- Organizational Unit Name (eg, section) []: — скорочена назва підрозділу організації, наприклад Unit,

- Common Name (e.g. server FQDN or YOUR name) []: — власне ім’я (можна використовувати доменне ім’я), наприклад domain,

- Email Address []: — адреса електронної пошти, наприклад email@email.com.

Поля «A challenge password» та «An optional company name» можна залишити порожніми.

Після виконання команди в директорії (за замовчуванням це /home/{username}) з'явиться файл запиту на підпис domain.сsr.

4. Створити самопідписаний сертифікат за допомогою виконання наступної команди:

openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt

Під час виконання даної команди необхідно ввести пароль особистого ключа, створеного при виконанні настанов пункту 2 даного розділу.

Після виконання команди в директорії (за замовчуванням це /home/{username}) з'явиться файл сертифікату відкритого ключа domain.crt.

5. Отриманий сертифікат буде створено в форматі PEM. Для подальшого використання його необхідно перетворити в сертифікат формату DER за допомогою виконання наступної команди:

openssl x509 -in domain.crt -outform der -out domain.der

Після виконання даної команди в директорії (за замовчуванням це /home/{username}) з'явиться файл сертифікату domain.der.

3.2 Додавання сертифікату у Postman

Для того, щоб додати створений сертифікат та відповідний особистий ключ у Postman необхідно виконати наступні дії:

1. Натиснути на позначку «» та обрати пункт «Settings».

2. У вікні, що відкриється, необхідно обрати вкладку «Certificates» та натиснути на кнопку «Add Certificate»:

3. У наступному вікні необхідно для полів:

Host – вказати внутрішню (сіру) ІР-адресу шлюзу безпечного обміну,

CRT – завантажити файл сертифікату відкритого ключа, який було створено в розділі 3.1 на кроці 5,

KEY — завантажити файл закритого ключа, який було створено в розділі 3.1 на кроці 2,

PFX – залишити порожнім,

Passphrase — ввести пароль, який було задано при створенні закритого ключа, в розділі 3.1 на кроці 5

 

та натиснути на кнопку «Add». Сертифікат з'явиться у вікні доступних сертифікатів.

3.3. Додавання сертифікату на шлюз безпечного обміну

Для додавання сертифікату на шлюзі безпечного обміну необхідно виконати наступні дії:

1. Відкрити вебінтерфейс шлюзу безпечного обміну та натиснути на кнопку «Внутрішні підсистеми» у рядку з ідентифікатором організації шлюзу (тип об’єкта – «MEMBER»):

 

2. У наступному вікні натиснути на кнопку «Додати» та обрати файл сертифікату, створеного в розділі 3.1 на кроці 5: