Документация
Сертификаты
Промежуточный сертификат

Создание и добавление промежуточного сертификата

Доступно в версии 0.3 и выше!

Промежуточный сертификат (intermediate certificate) - выпускается на основе корневого сертификата и необходим для подписи клиентских сертификатов.

Перед загрузкой промежуточного сертификата необходимо  создать и добавить корневой сертификат rootCA.crt.

Одновременно в систему можно загрузить только один корневой сертификат. В MDM требуется загрузить сертификат (intermediateCA.crt), так и его приватный ключ (intermediateCA.key).

Загрузка сертификата в MDM

  1. Переходим в Настройки - раздел Сертификаты - Вкладка Центр сертификации.
  2. Жмем кнопку Добавить и в выпадающем списке выбираем “Добавить промежуточный сертификат”.

  1. В модальном окне загружаем сертификат (файл с расширением .crt) и его приватный ключ (.key). Нажимаем Загрузить.

  1. Система выполнит несколько проверок:
    • Проверку соответствия сертификата и приватного ключа.
    • Проверку принадлежности промежуточного сертификата к корневому.

В результате отобразиться сообщение об успехе или соответствующая ошибка.

Отзыв промежуточного сертификата

Функционал отзыва промежуточного сертификата будет реализован в следующей версии.

Инструкция по созданию промежуточного сертификата

Корневой и промежуточный сертификат создаются локально на машине с помощью библиотеки OpenSSL.

Подготовка OpenSSL и создание корневого сертификата описаны на странице посвященной корневому сертификату.

Когда выполнено условие и создан корневой сертификат, приступаем к созданию промежуточного:

  1. Создаём приватный ключ промежуточного сертификата.
openssl genrsa -out "intermediateCA.key" 4096
  1. Создаём файл с запросом на подпись.
openssl req -new -key "intermediateCA.key" -out "intermediateCA.csr"

Вводим данные, аналогично как и при создании корневого сертификата.

  1. В той же директории создаём файл intermediate_ext.cnf со следующим содержимым:
[ v3_ca ]  
basicConstraints = critical,CA:true,pathlen:0  
keyUsage = critical, digitalSignature, cRLSign, keyCertSign  
subjectKeyIdentifier = hash  
authorityKeyIdentifier = keyid:always,issuer:always

Этот файл нужен, чтобы выпустить промежуточный CA-сертификат, который будет работать как CA. Без него сертификат получится “обычным”.

  1. Подписываем промежуточный сертификат корневым
openssl x509 -req -in "intermediateCA.csr" -CA "rootCA.crt" -CAkey "rootCA.key" -CAcreateserial -out "intermediateCA.crt" -days 1825 -sha256 -extfile "intermediate_ext.cnf" -extensions v3_ca
  1. В результате всех действий должен получиться список файлов:

Теперь загружаем в MDM сертификат (intermediateCA.crt) и его приватный ключ (intermediateCA.key).

Последнее обновление
Корневой сертификатПользовательские сертификаты