Импорт Root-сертификата

Описание

Если используется несколько серверов в одном кластере EDR, то сертификаты:

• Загружаются в веб-интерфейсе BI.ZONE EDR только один раз.

• Сохраняются в БД и доступны всем серверам в кластере.

Импорт сертификата

1. Подключитесь к Серверу управления через SSH-консоль.

2. Сгенерируйте клиентский Root-сертификат .PFX с помощью openssl:

   #файл sensors_openssl.cnf можно скачать по ссылке: https://files.bi.zone:443/d/4d1b0342889d475e9ff4/
   openssl genrsa -des3 -out ./root.key 2048
   
   openssl req -new  \
   -subj "/C=RU/ST=Moscow/L=Moscow/O=BiZone LLC/OU=Security Department/CN=BiZoneSensors CI:00000012/emailAddress=security@bi.zone" \
   -key ./root.key \
   -out ./root.cer \
   -sha256 \
   -x509 \
   -days 1825 \
   -config ./sensors_openssl.cnf
   
   openssl pkcs12 -export -inkey root.key -in root.cer -out root.pfx -macalg SHA1 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES
   #openssl попросит вас указать пароль во время генерации сертификата, **root.pfx** можно будет грузить в web-ui, указав пароль, который задавали ранее

   Примечание: укажите срок в 5 лет через параметр days со значением 1825.

   Пример содержимого файла sensors_openssl.cnf:

   [ req ]
   default_bits        = 1024
   default_keyfile     = privkey.pem
   distinguished_name  = req_distinguished_name
   attributes      = req_attributes
   x509_extensions = v3_ca # The extentions to add to the self signed cert
    
   string_mask = nombstr
    
   [ req_distinguished_name ]
   countryName         = Country Name (2 letter code)
   countryName_default     = RU
   countryName_min         = 2
   countryName_max         = 2
    
   stateOrProvinceName     = State or Province Name (full name)
   stateOrProvinceName_default = Moscow
    
   localityName            = Moscow
    
   0.organizationName      = Organization Name (eg, company)
   0.organizationName_default  = <Organization_Name>
    
   # we can do this but it is not needed normally :-)
   #1.organizationName     = Second Organization Name (eg, company)
   #1.organizationName_default = World Wide Web Pty Ltd
    
   organizationalUnitName      = Organizational Unit Name (eg, section)
   #organizationalUnitName_default = Security Department
    
   commonName          = Common Name (e.g. server FQDN or YOUR name)
   commonName_max          = 64
    
   emailAddress            = Email Address
   emailAddress_max        = 64
    
   # SET-ex3           = SET extension number 3
    
   [ req_attributes ]
   challengePassword       = A challenge password
   challengePassword_min       = 0
   challengePassword_max       = 20
    
   unstructuredName        = An optional company name
    
   [ v3_ca ]
    
   subjectKeyIdentifier=hash
   authorityKeyIdentifier=keyid:always,issuer:always
   basicConstraints = CA:true,pathlen:511
   keyUsage = cRLSign, keyCertSign, digitalSignature

3. Перейдите к веб-интерфейсу по ссылке формата:

   https://СерверУправления:Порт/

   Где:

   • СерверУправления — адрес развернутого сервера управления (bzserver).

   • Порт — значение порта из вашей конфигурации (по умолчанию 9993).

4. Введите admin в качестве имени и пароля пользователя.

   Примечание: после установки сервера автоматически создается пользователь с учетной записью admin и паролем admin. При первой авторизации будет предложено изменить пароль.

5. Перейдите Настройки → Сертификаты и загрузите сертификат: