Рекомендации по работе с сертификатами#

  1. Сертификат должен быть подписан только удостоверяющим центром (CA). Необходимо удостовериться в отсутствии самоподписанных сертификатов.

  2. Сертификат должен «принадлежать» конкретному программному Компоненту (нельзя использовать один и тот же сертификат для функционирования разных Компонентов в рамках одной инсталляции Platform V).

  3. Сертификат должен быть действительным на текущую дату. Необходима проверка срока действия сертификата.

  4. Сертификат не должен быть отозван соответствующим удостоверяющим центром (CA). Необходима проверка списков исключения сертификатов.

  5. Должны быть подключены механизмы аутентификации, авторизации и валидации по сертификатам (при наличии интеграции Компонента с компонентами Platform V, реализующими данный функционал).

  6. Приватный/доверенный ключ не должен распространяться по каналам связи и должен иметь стойкий пароль.

  7. Рекомендуемая длина ключа - не менее 2048 бит.

  8. Рекомендуемый срок действия сертификата - не более 3 лет.

Генерация сертификатов#

Сценарий для выполнения требуют обладания ролью администратора среды оркестрации

Программный компонент поддерживает два способа работы с сертификатами:

  • выпуск сертификата с помощью PKI-движка (если терминация трафика происходит на Egress);

  • использование сертификата из JKS-файла, загружаемого вручную в SecMan (если терминация трафика происходит на сервисе).

Выпуск сертификата с помощью PKI-движка#

Необходимо указать в параметре aelt_egress_gateway.ose.deployment.spec.vault.pkiEngineSecretName название используемого PKI-движка. При развёртывании программного компонента, SecMan автоматически выпустит и примонтирует сертификат в файловую систему пода Egress.

Использование сертификата, загружаемого вручную в SecMan#

Для выпуска сертификата можно воспользоваться PKI-движком (например, Sber PKI), либо любым другим ПО для генерации сертификатов (например, OpenSSL). Сертификат необходимо выпустить в формате JKS или PKCS12, закодировать в Base64 и загрузить в секрет SecMan. Название секрета и ключа секрета SecMan, в который нужно загружать сертификат, указываются в параметрах aelt_lite.ose.deployment.spec.vault.secretName и aelt_lite.ose.deployment.spec.vault.jksKey, соответственно. При развёртывании программного компонента, SecMan автоматически примонтирует указанный сертификат в файловую систему пода сервиса.

Поддерживаемые форматы сертификатов и ключей#

Программный компонент поддерживает работу со следующими форматами сертификатов и ключей: JKS, PKCS, PEM.

Порядок действий в случае компрометации криптографических ключей#

Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи рекомендуется немедленно вывести из действия и перевыпустить, если иной порядок не оговорен в эксплуатационной и технической документации владельца инфраструктуры.