Генерация SSL-сертификата для архива эпизодов🔗
Сертификаты для Сервиса архивных эпизодов можно создать с помощью утилиты OpenSSL.
Необходимо установить дистрибутив версии OpenSSL v1.1.1n Light, который соответствует разрядности используемой операционной системы.
Генерация на ОС Windows
Ниже приведены последовательности команд, выполняемые в командной строке.
Шаг 1. Добавьте директорию OpenSSL в переменную среды PATH.
Если установлена версия Win64 OpenSSL v1.1.1n Light:
path=%path%C:\Program Files\OpenSSL-Win64\bin\;
Если установлена версия Win32 OpenSSL v1.1.1n Light:
path=%path%C:\Program Files\OpenSSL-Win32\bin\;
Шаг 2. Создайте каталог, в котором будут находиться сгенерированные сертификаты. В командной строке перейдите в созданный каталог.
Шаг 3. Сгенерируйте закрытый ключ корневого сертификата:
openssl genrsa -out *rootCertKeyName*.key 2048
Шаг 4. Сгенерируйте корневой сертификат:
openssl req -x509 -new -key *rootCertKeyName*.key -days 10000 -out *rootCertName*.crt
Примечание
При выполнении этой команды будет предложено заполнить информацию о сертификате.
Шаг 5. Сгенерируйте закрытый ключ сервиса:
openssl genrsa -out *serviceCertKeyName*.key 2048
Шаг 6. Создайте запрос на подпись сертификата сервиса корневым сертификатом:
openssl req -new -key *serviceCertKeyName*.key -out *serviceCertRequestName*.csr
Примечание
При выполнении этой команды будет предложено заполнить информацию о сертификате.
Важным пунктом является заполнение информации о Common Name (e.g. server FQDN or YOUR name), необходимо указать IP-адрес сервиса.
Шаг 7. Подпишите запрос корневым сертификатом, сгенерировав тем самым сертификат сервиса:
openssl x509 -req -in *serviceCertRequestName*.csr -CA *rootCertName.crt -CAkey *rootCertKeyName*.key -CAcreateserial -out *serviceCertName*.crt -days 5000
Шаг 8. Экспортируйте сертификат и закрытый ключ сервиса в один файл для импорта:
openssl pkcs12 -export -out *serviceCertFileName*.pfx -inkey *serviceCertKeyName*.key -in *serviceCertName*.crt -certfile *rootCertName*.crt
Примечание
Соответствующие файлы с расширением .pfx должны быть переданы на сервер, на котором будет расположен Сервиса архивных эпизодов, и добавлены в конфигурацию **Сервиса архивных эпизодов**.
Корневой сертификат *rootCertName*.crt должен быть импортирован в операционную систему на всех рабочих серверах, которые планируют работать с Сервисом архивных эпизодов.
Генерация на ОС Linux
Шаг 1. Откройте терминал.
Шаг 2. Создайте каталог, в котором будут находиться сгенерированные сертификаты. В командной строке перейдите в созданный каталог.
Шаг 3. Сгенерируйте закрытый ключ корневого сертификата:
openssl genrsa -out *rootCertKeyName*.key 2048
Шаг 4. Сгенерируйте корневой сертификат:
openssl req -x509 -new -key *rootCertKeyName*.key -days 10000 -out *rootCertName*.crt
Примечание
При выполнении этой команды будет предложено заполнить информацию о сертификате.
Шаг 5. Сгенерируйте закрытый ключ сервиса:
openssl genrsa -out *serviceCertKeyName*.key 2048
Шаг 6. Создайте запрос на подпись сертификата сервиса корневым сертификатом:
openssl req -new -key *serviceCertKeyName*.key -out *serviceCertRequestName*.csr
Примечание
При выполнении этой команды будет предложено заполнить информацию о сертификате.
Важным пунктом является заполнение информации о Common Name (e.g. server FQDN or YOUR name), необходимо указать IP-адрес сервиса.
Шаг 7. Подпишите запрос корневым сертификатом, сгенерировав тем самым сертификат сервиса:
openssl x509 -req -in *serviceCertRequestName*.csr -CA *rootCertName.crt -CAkey *rootCertKeyName*.key -CAcreateserial -out *serviceCertName*.crt -days 5000
Шаг 8. Экспортируйте сертификат и закрытый ключ сервиса в один файл для импорта.
openssl pkcs12 -export -out *serviceCertFileName*.pfx -inkey *serviceCertKeyName*.key -in *serviceCertName*.crt -certfile \*rootCertName*.crt
Шаг 9. Импортируйте сертификат.
Скопируйте сертификат в папку с сертификатами:
sudo cp *rootCertName*.crt /usr/local/share/ca-certificates/*rootCertName*.crt
Обновите хранилище сертификатов:
sudo update-ca-certificates
Установите пакет хранилища сертификатов:
yum install ca-certificates
Разрешите динамическое конфигурирование хранилища сертификатов:
update-ca-trust force-enable
Скопируйте корневой сертификат в папку сертификатов:
cp *rootCertName*.crt /etc/pki/ca-trust/source/anchors/
Обновите хранилище сертификатов:
update-ca-trust extract