- Linux: вся правда о сертификации – my-sertif.ru
- Альт 8 сп — купить лицензию альт 8 сп по выгодной цене в ростове-на-дону на официальном сайте
- Добавление в linux корневых сертификатов x.509 локального корпоративного центра сертификации [вики it-kb]
- Как добавить корневой сертификат в доверенные в linux на уровне системы
- Как установить ssl сертификат на nginx (linux) | облачный виртуальный хостинг cloudlite
- Подготовка к сертификации
- Подпись ssl сертификата linux в доменном центре сертификации
- Сертификация linux professional institute (lpi)
Linux: вся правда о сертификации – my-sertif.ru
Деловой мир проявляет огромный интерес к движению opensource вообще и к флагману этого движения ОС Linux в частности. Некоторые усматривают в этом желание компаний сэкономить на покупке коммерческого ПО, но это не так. На самом деле использование бесплатного ПО для корпораций в сущности не является бесплатным: деньги вкладываются в профессионалов — специалистов, которые заставляют работать открытые системы на пользу компании. Смещается акцент — основные затраты уходят не на программный продукт, а на людей, которые с возрастом становятся опытнее и ценнее.
Кадры решают все. Значение этого изречения трудно переоценить. В самом деле, нужно
раскрыть огромный потенциал, который предлагает свободное ПО, и кто же это может
сделать, как не грамотные специалисты? Однако профессионалы в области Unix-систем
стоят недешево. Опыт показывает, что вложения в подготовку людей себя оправдывают,
но нужны гарантии, что деньги не будут потрачены впустую. Одной из гарантий является
сертификация специалистов.
Независимо друг от друга и практически в одно и то же время возникло несколько программ сертификации по Linux.
Компания Red Hat, которая преуспела на поприще создания дистрибутивов Linux и распространения их в корпоративной среде, решила заняться поставкой не только программного обеспечения, но и специалистов для его обслуживания. Red Hat разработала программу обучения и сертификации специалистов по Linux-системам.
CompTIA, хорошо известная в сфере сертификации IT-специалистов, видя интерес мирового сообщества к открытой операционной системе, решила не отставать и создала свою собственную программу сертификации — Linux , рассчитанную на начинающих пользователей.
Весьма серьезный подход к делу показала компания SAIR (Software Architecture Implementation and Realization), сфокусировавшая свои усилия на Linux-сертификации и подготовке к ней. В проекте участвовали такие киты opensource-движения, как Эрик Раймонд (Eric Raymond), автор знаменитой книги “The Cathedral and the Bazaar”, и Ричард Столман (Richard Stallman), основатель Free Software Foundation. В результате была создана одна из самых детальных и развитых схем сертификации.
Наконец, организация, известная как Linux Professional Institute (LPI), предложила собственную схему сертификации, покрывающую все уровни подготовки специалиста — от начального до самого высокого. LPI интересна хотя бы тем, что базируется на принципах, лежащих в основе самой операционной системы Linux: движущей силой LPI являются энтузиасты со всего мира, делающие вклад в ее развитие.
У каждой из компаний свое видение проблемы подтверждения качества знаний специалистов по Linux. Предлагаемые стратегии сертификации отличаются широтой и направленностью охватываемых знаний, наличием промежуточных уровней, методами проверки и стоящими перед ними задачами. Каждый вариант обладает своими недостатками и достоинствами.
Краткая характеристика различных видов Linux-сертификации
Red
Hat
Сертификация ориентирована на дистрибутив Red Hat. Экзамен состоит из трех частей.
1. Тестирование. Проходит как обычно: задается ряд вопросов, на каждый из которых необходимо выбрать правильный ответ. Продолжается один час, в течение которого нужно ответить на 50 вопросов.
2. Устранение неисправностей. Тестируемому предоставляется компьютер, в настройках операционной системы которого есть серьезные ошибки. Нужно за 2,5 часа найти и устранить все неисправности (как правило, две—четыре).
3. Инсталляция и конфигурирование. Необходимо провести инсталляцию системы с нуля, после чего выполнить ее полное конфигурирование, которое включает создание учетных записей пользователей, настройку сетевых служб и т. д.
Суммарный балл определяется на основе оценок, полученных на каждом из этапов экзамена.
Во время экзамена проводится разносторонняя проверка пользователей, что позволяет выявить не только теоретические знания системы, но и способность к решению практических задач. Специалисты, прошедшие сертификацию, получают звание Red Hat Certified Engineer (RHCE).
Продолжительность экзамена — 8 часов.
Стоимость — $749.
Проводится на базе тестовых центров Red Hat и доступна только в США.
CompTIA
Linux
Сертификация CompTIA нацелена на проверку и подтверждение базовых знаний по
ОС Linux. Не привязана к конкретному дистрибутиву Linuх, может использоваться
пользователями и начинающими администраторами.
Вся сертификация состоит из одного экзамена.
Стоимость — около $200.
Экзамен проводится на базе тестовых центров Prometric и VUE.
SAIR
GNU/Linux
Эта сертификация нейтральна по отношению к производителю дистрибутивов и имеет
три уровня.
1. SAIR Linux and GNU Certified Administrator (LCA). Рассчитан на продвинутых пользователей и администраторов.
2. SAIR Linux and GNU Certified Engineer (LCE). Для специалистов, управляющих сложными Linux-системами.
3. Master SAIR Linux and GNU Certified Engineer (MLCE). Соответствует уровню ведущих администраторов и инженеров компьютерных систем, которые должны обладать глубокими знаниями об устройстве ОС Linux.
На каждом уровне сертификации необходимо сдать четыре экзамена, которые проходят в форме тестирования: на каждый вопрос предлагается несколько вариантов ответов, из которых необходимо выбрать один или несколько правильных.
Стоимость одного экзамена (ориентировочно) — $100.
Проводится на базе тестовых центров Prometric и VUE.
Linux
Professional Institute
Нейтральная по отношению к производителю сертификация. Открытый проект, в
котором участвуют энтузиасты со всего мира.
Предусмотрено три уровня — LPI1, LPI2 и LPI3, из которых пока что работают только два первых.
Сертификация на каждом из них требует сдачи двух экзаменов, после прохождения которых специалисту присваивается статус LPIC (LPI Certified) с указанием уровня (например, LPIC1).
Стоимость одного экзамена (ориентировочно) — $100.
Проводится на базе тестовых центров Prometric и VUE.
Специалисты, прошедшие сертификацию LPI, отмечают высокую сложность экзаменов даже на первом уровне, подчеркивают необходимость понимания внутреннего устройства системы и наличия систематизированных знаний о ней.
Недавно о расширении своей обучающей программы сообщила Caldera: в ее состав была добавлена поддержка сертификации LPIC1. Сегодня в программе Caldera есть три уровня сертификации: CSA (Certifies System Administrator), ACE (Advanced Certified Engineer) и Master ACE (Master Advanced Certified Engineer). Теперь на первых двух из них возможна сертификация или по Linux, или по Unix, а для Master ACE необходимы обе сертификации — и по Linux, и по Unix.
Другие программы
Существуют и другие менее популярные программы Linux-сертификации. Например, IBM принимает экзамен Linux Certification Exam в рамках программы IBM eServer Certified Specialist xSeries. Другой интересный пример — бесплатная Web-based-сертификация Brainbench “General Linux” и ряд других родственных ей, проводящихся за символическую плату.
Что выбрать?
Как и везде в мире Linux, в сфере оценки качества специалистов все неоднозначно, и сразу сложно сказать, какая же сертификация является наилучшей. Linux — децентрализованная система, соответственно, сложно выбрать как лучший Linux-дистрибутив, так и оптимальный вариант системы подтверждения знаний.
Сертификация Red Hat при всех своих достоинствах обладает одним существенным недостатком — может быть пройдена только в США. Кроме того, она ориентирована на конкретный дистрибутив, пусть даже один из самых популярных, и, следовательно, не затрагивает многих вопросов, с которыми может столкнуться Linux-администратор в своей практике. Во-вторых, за счет одноуровневости она не дает возможности обнаружить особо глубокие знания, которые могут быть выявлены на верхних уровнях SAIR и LPI.
Сертификация CompTIA на фоне конкурентов выглядит несерьезно: уровень сложности вопросов слишком низок и не позволяет проявляться более или менее глубоким знаниям тестируемого.
Наибольший интерес представляют сертификации SAIR и LPI. Они имеют приблизительно одинаковый охват областей знаний, обе базируются на тестировании, экзамены можно сдать в центрах VUE или Prometric. В чем же разница между ними? Какая из них и в каком случае является наиболее предпочтительной?
SAIR обеспечивает достаточно серьезную и надежную проверку знаний на всех уровнях: от самого простого, до самого сложного, доступного только продвинутым гуру. Она четко показывает уровень подготовки администратора и выявляет его слабые места, но при этом достаточно дорога: $1200 за полный набор сертификатов или $400 за один уровень. Кроме того, компания SAIR в последнее время неоднократно заявляла о намерении свернуть тестирование собственными силами и передать существующие наработки LPI или какой-либо другой организации, а все свои ресурсы направить на подготовку к сертификации и обучение системных администраторов.
Сертификация LPI имеет на сегодняшний день больше всего преимуществ. Чак Мид (Chuck Mead), президент LPI, в феврале сообщил о том, что в течение декабря 2001 г. было принято более 1000 экзаменов. В апреле этого года количество сертифицированных специалистов LPI достигло отметки 10 тысяч. Кроме того, этот проект поддерживается многими крупными IT-компаниями, среди которых — IBM, Caldera, SuSE и HP.
Сертификация LPI является многоплатформенной, она не ориентирована на какой-либо
конкретный дистрибутив. Это требует знаний и по Red Hat, и по Slackware, и по
Debian, что, с одной стороны, усложняет подготовку, но с другой — делает сертификат
более универсальным. Принципы, лежащие в основе этого проекта, — открытость и
многоплатформенность — способствовали его включению во многие сертификационные
программы.
E-mail автора: [email protected]
Альт 8 сп — купить лицензию альт 8 сп по выгодной цене в ростове-на-дону на официальном сайте
Альт 8 СП – российская сертифицированная операционная система для серверов и рабочих станций.
Преимущества ОС Альт 8 СП:
- Оперативный выпуск обновлений по безопасности.
- Наличие графических средств настройки системы, включая аутентификацию (в том числе через Active Directory и LDAP/Kerberos), установку и синхронизацию времени, управление пользователями, группами, просмотр системных журналов и добавления принтеров.
- Большой набор предустановленного прикладного ПО, включающего браузер, почтовый клиент, офисный пакет, программ редактирования векторной и растровой графики и другие приложения.
- Дополнительные компоненты для совместимости с отечественным программным обеспечением.
ОС Альт 8 СП Рабочая станция – универсальный дистрибутив, включает в себя операционную систему и набор приложений для полноценной работы, поддерживает 32/64-битные платформы x86, Эльбрус 4С/8С и различное оборудование.
Основные компоненты Альт 8 СП Рабочая станция:
| i586/x86_64 | Эльбрус-4С/8С | |
| Ядро Linux | 5.4 | 4.9 |
| Рабочая среда MATE | 1.12 | 1.12 |
| Офисный пакет LibreOffice | 6.1 | 5.4 |
| Веб-браузер Firefox | ESR 60 | ESR 52 |
| Почтовый клиент Thunderbird | ESR 60 | ESR 52 |
Системные требования для установки Альт 8 СП Рабочая станция:
ОС Альт 8 СП Сервер – серверный дистрибутив с широкой функциональностью, позволяет поддерживать корпоративную инфраструктуру. Система управления сервером имеет более 100 модулей, доступных в репозитории, и позволяет работать через графический или веб-интерфейс.
Дистрибутив выпускается для следующих аппаратных платформ:
- архитектура Intel i586/x86_64;
- архитектура Эльбрус-4С/8С.
Преимущества Альт 8 СП Сервер:
Основные компоненты Альт 8 СП Сервер:
Системные требования для установки Альт 8 СП Сервер:
- архитектуры: i586/x86_64, Эльбрус-4С/8С, AArch64 (ARMv8), ppc64le (POWER);
- оперативная память: от 1 Гбайт, рекомендуется 8 Гбайт;
- жесткий диск: от 30 Гбайт, рекомендуется 200 Гбайт;
- сеть: рекомендуется порт Ethernet;
- периферийное оборудование: стандартное, возможно использование без монитора.
ОС Альт 8 СП сертифицирована ФСТЭК России, Министерством Обороны РФ и ФСБ России.
ОС Альт 8 СП включена в Единый реестр российских программ при Минсвязи РФ Рег. номер ПО: 4305. Решение уполномоченного органа: Приказ Минкомсвязи России от 28.03.2021 №136
Добавление в linux корневых сертификатов x.509 локального корпоративного центра сертификации [вики it-kb]
Некоторые службы и приложения в Linux могут использовать в своей работе сетевые соединения, защищаемые с помощью SSL/TLS. Иногда требуется, чтобы цифровой сертификат, используемый для защиты соединений и предоставляемый каким-то удалённым сервером из локальной сети, принимался локальной Linux-системой как доверенный. Для этого в Linux-систему может потребоваться добавить корневой сертификат Центра сертификации (ЦС), которым были выданы сертификаты, используемые для защиты соединений. Типичный пример, когда локальная Linux-система для механизмов аутентификации и авторизации подключается с помощью ldap-клиента (например OpenLDAP) к контроллеру домена Active Directory (AD) и контроллер домена предоставляет ldap-клиенту для защиты соединения сертификат, выданным локальным корпоративным ЦС.
Здесь мы рассмотрим простой пример того, как в Linux-систему добавить корневые сертификаты локального корпоративного ЦС.
О том, как «выуживать» корневые сертификаты ЦС, которыми подписаны сертификаты контроллеров домена AD, я приводил пример ранее. Если под руками есть доменная Windows-машина, то можно выгрузить корневой сертификат из оснастки управления сертификатами из раздела корневых сертификатов доверенных ЦС. Если корневой сертификат не один, а несколько (цепочка), то каждый корневой сертификат цепочки выгрузим в файл в кодировке Base-64, сразу присвоив им расширение PEM вместо CER
В результате такой выгрузки в нашем примере получится пара файлов AD-RootCA.pem (корневой сертификат ЦС верхнего уровня) и AD-SubCA.pem (корневой сертификат подчинённого ЦС). Скопируем полученные pem-файлы на наш Linux-сервер, например с помощью утилиты pscp, во временный каталог.
С:ToolsPuTTy>pscp.exe С:TempAD-*.pem linux-user@LINUX-SERVER:/tmp
AD-RootCA.pem | 1 kB | 1.3 kB/s | ETA: 00:00:00 | 100% AD-SubCA.pem | 1 kB | 1.9 kB/s | ETA: 00:00:00 | 100%
Перейдём на консоль Linux-сервера и переместим файлы коневых сертификатов из временного каталога в каталог, который мы создадим специально для хранения наших корневых сертификатов и подправим на эти сертификаты права (если требуется)
# mkdir /etc/ssl/certs-corp-ca # mv /tmp/AD-*.pem /etc/ssl/certs-corp-ca # chown root:root /etc/ssl/certs-corp-ca/AD-*.pem # ls -la /etc/ssl/certs-corp-ca
... -rw-r--r-- 1 root root 1344 Mar 6 19:35 AD-RootCA.pem -rw-r--r-- 1 root root 1922 Mar 6 19:35 AD-SubCA.pem
Теперь обработаем содержимое каталога с нашими сертификатами утилитой OpenSSL – c_rehash:
# c_rehash /etc/ssl/certs-corp-ca
Doing /etc/ssl/certs-corp-ca AD-RootCA.pem => 36865f67.0 AD-RootCA.pem => bb8428b0.0 AD-SubCA.pem => e740e31e.0 AD-SubCA.pem => 536fc63e.0
В результате выполнения этой команды в этом же каталоге будут созданы специальные хеш-ссылки на файлы сертификатов.
# ls -la /etc/ssl/certs-corp-ca
... lrwxrwxrwx 1 root root 13 Mar 6 20:06 36865f67.0 -> AD-RootCA.pem lrwxrwxrwx 1 root root 12 Mar 6 20:06 536fc63e.0 -> AD-SubCA.pem -rw-r--r-- 1 root root 1344 Mar 6 19:59 AD-RootCA.pem -rw-r--r-- 1 root root 1922 Mar 6 19:59 AD-SubCA.pem lrwxrwxrwx 1 root root 13 Mar 6 20:06 bb8428b0.0 -> AD-RootCA.pem lrwxrwxrwx 1 root root 12 Mar 6 20:06 e740e31e.0 -> AD-SubCA.pem
Помните про то, что если в дальнейшем в данный каталог потребуется снова добавить дополнительный сертификат, то команду c_rehash нужно будет выполнить для каталога заново, чтобы сгенерировались хеш-ссылки для добавленных сертификатов. И напротив, если из каталога будут удаляться какие-то сертификаты, то нужно будет выполнить команду, которая вычистит все хеш-ссылки на уже несуществующие файлы сертификатов:
# find -L /etc/ssl/certs-corp-ca -type l -exec rm {} Итак, каталог с сертификатами подготовлен, теперь можно его указывать в качестве источника доверенных корневых сертификатов для разных служб и приложений в нашей Linux-системе.
В качестве примера рассмотрим клиента OpenLDAP, для которого можно указать созданный нами каталог в конфигурационном файле ldap.conf (/etc/ldap/ldap.conf) в дополнительной опции TLS_CACERTDIR, таким образом, чтобы эта опция шла после имеющейся по умолчанию опции TLS_CACERT (подробнее об этих опциях можно найти в man ldap.conf):
- ldap.conf
... # TLS certificates (needed for GnuTLS) TLS_CACERT /etc/ssl/certs/ca-certificates.crt # Corp CA root certificates storage TLS_CACERTDIR /etc/ssl/certs-corp-ca
Собрать все нужные доверенные корневые сертификаты Центров сертификации в бандл можно простой склейкой содерживого PAM-файлов в колировке Base-64:
# mkdir /etc/ssl/certs-corp-ca-chain # cd /etc/ssl/certs-corp-ca # cat ./AD-RootCA.pem ./AD-SubCA.pem > /etc/ssl/certs-corp-ca-chain/AD-Chain.pem # cat /etc/ssl/certs-corp-ca-chain/AD-Chain.pem
-----BEGIN CERTIFICATE----- ... ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... ... -----END CERTIFICATE-----
Соответственно, применительно к ранее упомянутому клиенту OpenLDAP в Debian GNU/Linux настройка конфигурации будет такой:
- ldap.conf
... # TLS certificates (needed for GnuTLS) TLS_CACERT /etc/ssl/certs-corp-ca-chain/AD-Chain.pem # Corp CA root certificates storage#TLS_CACERTDIR /etc/ssl/certs-corp-ca
Автор первичной редакции:
Алексей Максимов
Время публикации: 25.03.2021 17:36
Как добавить корневой сертификат в доверенные в linux на уровне системы
Сертификат с расширением .crt можно открыть двойным кликом и просмотреть его содержимое:
Если вы работаете в системе от обычного пользователя (не root), то кнопка «Импортировать» будет недоступна.
Чтобы разблокировать кнопку «Импортировать», выполните следующую команду:
sudo gcr-viewer /ПУТЬ/ДО/СЕРТИФИКАТА.crt
Например:
sudo gcr-viewer ./HackWareCA.crt
Данный способ может не сработать, поэтому рассмотрим, как добавить доверенные корневые центры сертификации в командной строке.
Суть метода очень проста:
- Добавить свой корневой CA сертификат в папку, предназначенную для таких сертификатов.
- Запустить программу для обновления общесистемного списка сертификатов.
Пути и команды в разных дистрибутивах Linux чуть различаются.
Просмотреть Subject всех корневых CA сертификатов можно уже знакомой командой:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crtДля демонстрации я добавлю сертификат с Common Name, включающим «HackWare», тогда для проверки, имеется ли сертификат с таким именем среди корневых CA, я могу использовать команду:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep -i HackWareДля добавления своего корневого CA в доверенные в Debian, Kali Linux, Linux Mint, Ubuntu и их производных:
1. Проверьте, существует ли директория /usr/local/share/ca-certificates:
ls -l /usr/local/share/ca-certificates
Если её ещё нет, то создайте:
sudo mkdir /usr/local/share/ca-certificates
Сертификат должен быть в формате PEM (обычно так и есть) и иметь расширение .crt — если расширение вашего сертификата .pem, то достаточно просто поменять на .crt.
2. Скопируйте ваш сертификат командой вида:
sudo cp СЕРТИФИКАТ.crt /usr/local/share/ca-certificates/
Например:
sudo cp ./HackWareCA.crt /usr/local/share/ca-certificates/
3. Запустите следующую команду для обновления общесистемного списка:
sudo update-ca-certificates
Пример вывода:
Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d... Adding debian:HackWareCA.pem done. done.
Проверим наличие нашего CA сертификата среди доверенных:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep -i HackWareСертификат успешно найден:
Чтобы его удалить:
sudo rm /usr/local/share/ca-certificates/СЕРТИФИКАТ.crt sudo update-ca-certificates
Для добавления своего корневого CA в доверенные в Arch Linux, BlackArch и их производных:
1. Выполните команду вида:
sudo cp ./СЕРТИФИКАТ.crt /etc/ca-certificates/trust-source/anchors/
Например:
sudo cp ./HackWareCA.crt /etc/ca-certificates/trust-source/anchors/
2. Обновите общесистемный список доверенных CA:
sudo update-ca-trust
Чтобы удалить этот сертификат:
sudo rm /etc/ca-certificates/trust-source/anchors/СЕРТИФИКАТ.crt sudo update-ca-trust
Как установить ssl сертификат на nginx (linux) | облачный виртуальный хостинг cloudlite
Когда вы сгенерировали CSR-запрос и приобрели SSL сертификат, воспользуйтесь этой инструкцией по установке сертификата на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.
После заказа SSL сертификата файлы для его установки отразятся в панели управления (меню SSL): .CA – файл сертификата Центра Сертификации (Certificate Authority). .CRT – файл сертификата вашего веб-сайта.
Как загрузить нужные файла на веб-сервер
Прежде всего загрузите файлы .ca и .crt на веб-сервер. При отсутствии графического окружения рабочего стола на сервере загрузка файлов может осуществиться на другой компьютер. Впоследствии их можно будет перенести.
Внимание: предполагается, что нужная для применения пара закрытый/открытый ключ была создана на том же веб-сервере, куда будет перенесен приобретенный сертификат. При создании ключей на другом сервере следует также перенести файл закрытого ключа .key на ваш веб-сервер (аналогично описанной ниже процедуре копирования файлов сертификатов).
Как переносить сертификаты с компьютера Linux/Mac OS:
Проще всего – при помощи опции SCP, встроенной в возможность терминала вашего компьютера:
Скачайте файлы .CA и .CRT на локальный компьютер. Откройте терминал и папку с сохраненными сертификатами (напр., Downloads):
cd ~/Downloads
Скопируйте сертификаты вашего сайта и Центра Сертификации на веб-сервер:
scp mydomain.ru_crt.crt mydomain.ru_ca.crt user@1.1.1.1:/etc/ssl
Здесь:
scp – команда для копирования файлов
mydomain.ru_crt.crt – имя загруженного из панели файла сертификата вашего веб-сайта
mydomain.ru_ca.crt – имя загруженного из панели файла сертификата Центра Авторизации
user – имя вашего пользователя для подключения к серверу через ssh (часто используется root)
1.1.1.1 – IP-адрес вашего веб-сервера
/etc/ssl – директория на удаленном сервере, куда следует сохранить загружаемые файлы.
Как переносить сертификаты с компьютера Windows:
Скачайте, установите и включите программу WinSCP. В открывшемся окне наберите данные для подключения к вашему серверу по SSH. Слева в окне отразятся файлы на локальном компьютере, справа – на подключенном удаленном сервере. Выберите или создайте директорию, куда нужно сохранить сертификаты, в правой части окна. Перетащите файлы .CA и .CRT в эту директорию из левой части окна.
Внимание: можно перенести файл закрытого ключа (.key) для удобства в ту же директорию, куда вы скопировали файлы сертификатов. Если вы не делаете этого, просто запомните путь до этого файла и потом укажите его в файле конфигурации Apache вместо пути, рассмотренном в нашем примере.
Если закрытый ключ .key сгенерирован прямо на сервере, то для его копирования в другую директорию подойдет команда:
cp /home/root/private.key /etc/ssl/private.key
Здесь:
cp – команда копирования
/home/root/ – путь до файла ключа
private.key – имя файла ключа
/etc/ssl/private.key – путь, по которому необходимо скопировать файл ключа
Вы можете удалить файл ключа из старого расположения такой командой:
rm /home/root/private.key
Как настроить веб-сервер Nginx на применение SSL сертификата
После копирования файлов сертификата сайта и Центра Сертификации вы должны отредактировать параметры вашего веб-сервера Nginx. Подключитесь к вашему серверу по SSH от имени пользователя root и выполните такие действия:
1. Объедините файлы сертификата Центра Сертификации (.CA) и сертификата вашего веб-сайта (.CRT) в один документ:
cat /etc/ssl/mydomain.ru_crt.crt /etc/ssl/mydomain.ru_ca.crt >> mydomain.crt
2. Откройте файл конфигурации сайта, для которого устанавливается SSL сертификат. Если, к примеру, параметры веб-сайта хранятся в файле /etc/nginx/sites-enabled/default:
nano /etc/nginx/sites-enabled/default
Внимание: На Ubuntu/Debian файлы параметров сайтов Nginx обычно располагаются в директории /etc/nginx/sites-enabled/ . На CentOS стандартное расположение – /etc/nginx/conf.d/
Для поиска интересующей конфигурации подойдет команда ls /директория/конфигураций (напр. ls /etc/nginx/sites-enabled), отображающая полный список файлов в нужной директории.
Теперь с помощью команды nano можно открыть определенный файл (напр. nano /etc/nginx/sites-enabled/default). Чтобы проверить, что открытый файл является конфигурацией вашего сайта, найдите в нем строку server_name. Ее значение должно соответствовать домену, для которого вы устанавливаете SSL сертификат (напр. www.mydomain.ru)
Внимание для CentOS: если на сервере не установлен редактор nano, используйте такую команду для его установки:
используйте такую команду для его установки:
yum install nano
Затем добавьте приведенные ниже параметры в открытый файл конфигурации:
listen 443 ssl;
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;
Здесь:
/etc/ssl/mydomain.crt – путь до файла сертификатов вашего сайта и центра сертификации
/etc/ssl/private.key – путь к файлу вашего закрытого ключа
Внимание: если вы хотите, чтобы после установки SSL сертификата ваш сайт был доступен только по безопасному протоколу https (порт 443), отредактируйте файл его конфигурации по аналогии с Примером 1. Если же нужно, чтобы сайт также оставался по-прежнему доступен по незащищенному протоколу http (порт 80) – см. Пример 2
(изменения выделены жирным шрифтом).
Пример 1 (только HTTPS):
server {
listen 443 ssl default_server;
root /var/www/html;
# Add index.php to the list if you are using PHP
index index.html index.htm index.nginx-debian.html;
server_name www.mydomain.ru;
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
try_files $uri $uri/ =404;
}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ .php$ {
# include snippets/fastcgi-php.conf;
#
# # With php7.0-cgi alone:
# fastcgi_pass 127.0.0.1:9000;
# # With php7.0-fpm:
# fastcgi_pass unix:/run/php/php7.0-fpm.sock;
#}
# deny access to .htaccess files, if Apache’s document root
# concurs with nginx’s one
#
#location ~ /.ht {
# deny all;
#}
Пример 2 (HTTPS HTTP):
server {
listen 80 default_server;
listen [::]:80 default_server;
listen 443 ssl;
# Note: You should disable gzip for SSL traffic.
# See: https://bugs.debian.org/773332
#
# Read up on ssl_ciphers to ensure a secure configuration.
# See: https://bugs.debian.org/765782
#
# Self signed certs generated by the ssl cert package
# Don’t use them in a production server!
#
# include snippets/snakeoil.conf;
root /var/www/html;
# Add index.php to the list if you are using PHP
index index.html index.htm index.nginx-debian.html;
server_name www.mydomain.ru;
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
try_files $uri $uri/ =404;
}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ .php$ {
# include snippets/fastcgi-php.conf;
#
# # With php7.0-cgi alone:
# fastcgi_pass 127.0.0.1:9000;
# # With php7.0-fpm:
# fastcgi_pass unix:/run/php/php7.0-fpm.sock;
#}
# deny access to .htaccess files, if Apache’s document root
# concurs with nginx’s one
#
#location ~ /.ht {
# deny all;
#}
}
Перезапустите сервис nginx:
Ubuntu/Debian:
/etc/init.d/nginx restart
CentOS:
service nginx restart
Если на сервере настроен файрвол iptables, нужно разрешить входящие подключения по протоколу https (порт 443) для вашего файрвола. Следуйте документации к вашей ОС, т.к. в разных дистрибутивах Linux работа с iptables осуществляется различно. Несколько примеров:
Ubuntu 16.04:
ufw allow 443/tcp
После этого SSL сертификат установлен на веб-сервер Apache. Чтобы проверить правильность настроек, откройте ваш-веб сайт в браузере по протоколу https (например, https://mydomain.ru). При верной установке сертификата в адресной строке вашего браузера появится иконка замка, при клике на нее отразится информация о приобретенном вами SSL сертификате.
Подготовка к сертификации
Процедура сертификации на практике довольно длительная. Однако упомянутый релиз сертифицировался в течение всего лишь полугода, что достаточно быстро, поскольку это уже шестая по счету версия, которая проходила проверки. Предыдущие пять релизов (а это порядка десяти лет разработки)
При этом необходимо отметить, что в настоящее время, сертификация это не заморозка продукта, а обязательное оперативное устранение выявленных уязвимостей в сертифицированном решении.
Самое главное, что произошло за эти полгода — Astra Linux Special Edition прошла многоуровневую процедуру проверки и анализа программного кода. При этом разные части продукта проверялись по-разному.
Наиболее серьезной проверке подвергалась система безопасности. В ней, кроме стандартной дискреционной используется мандатно-ролевая модель управления доступом и контроля целостности, поддерживающая существующие в России степени секретности информации — «секретно», «совершенно секретно» и т.п.
Согласно этой модели, каждой учетной записи пользователя, процессу, файлу или каталогу присваивается метка конфиденциальности, по которой и определяются права доступа. Например, файлы, созданные отделом производства танков уровня «совершенно секретно», недоступны другим отделам с уровнем доступа «секретно» или ниже.
Кроме того, всем учетным записям пользователей, процессам, файлам или каталогам присваивается метка целостности, в результате, например, пользовательские низкоцелостные процессы не смогут модифицировать системные высокоцелостные файлы. Даже если в результате эксплуатации уязвимости пользовательский процесс получит системные привилегии, он не сможет повлиять на работоспособность системы.
На скриншоте пример того, как низкоцелостный пользователь получил права суперпользователя, но при этом не может скопировать данные.
Для обоснования безопасности такого предоставления доступа строилась математическая модель, которая проверялась на логическую целостность, замкнутость и корректность.
Далее исходные коды системы безопасности проверялись на соответствие заявленной математической модели. И это довольно сложная и трудоемкая процедура, которая выполнялась совместно с сотрудниками Института системного программирования РАН.
Стоит отметить, что сейчас в России мы можем решать подобные задачи о проверке кода на соответствие математической модели для компонент объемом общей сложностью до 10 тыс. строк. И в эти лимиты система безопасности Astra Linux вполне укладывается. Но ядро Linux — это десятки миллионов строк кода, и инструментов по строгой математической верификации проекта такого объема на данный момент нет не только в компании, но и в стране в целом.
Так что для них используются иные механизмы контроля — с помощью инструментов статического и динамического анализа кода от того же Института системного программирования РАН или собственной разработки. Задача данного этапа — проверить код на ошибки, закладки или бекдоры.
Сертификация определяет не только, как выглядит код Astra Linux, но и каким образом продукт (точнее его специальная версия) поставляется пользователю — она распространяется только на дисках. Это связано как с ограничениями нормативных документов: чтобы подтвердить, что программный код не был изменен, так и реальными задачами по долговременному хранению оригинального носителя.
Подпись ssl сертификата linux в доменном центре сертификации
Копируем содержимое csr файла в буфер, затем идем на веб сайт доменного центра сертификации.
В поле шаблон сертификата выбираем Веб-сервер и кликаем по кнопке «Выдать».
Кликаем по ссылке «Загрузить сертификат» и сохраняем файл сертификата. После этого его можно загрузить на сервер и настроить на использование вебсервером.
Поскольку доменный центр сертификации по умолчанию распространяет свой корневой сертификат на все машины в домене Active Directory, либо вы сделали это с помощью GPO, то все подписанные им сертификаты на машинах в домене будут валидными. Таким образом и SSL сертификат в Linux подписанный доменным центром сертификации прикрученный к внутрикорпоративному веб-серверу тоже не вызовет ошибок в браузере на рабочей машине пользователя.
Данная инструкция пригодится при выпуске сертификата например для установки на Proxmox Mail Gateway или любой другой веб-сервер.
Сертификация linux professional institute (lpi)
LPI является независимой организацией, разрабатывающей обучающие программы и экзамены Linux и стремится к разработке глобального стандарта сертификации Linux. В линейке сертификации LPI доступны следующие уровни и экзамены:
Linux Essentials
Для получения сертификации нужно сдать один экзамен 010 Linux Essentials. Стоимость экзаменов LPI различна для каждой страны, проверить можно на их сайте, для Беларуси составляет 100 EUR. Экзамен содержит 40 вопросов с отведенными 60 минутами на ответы. Срок действия сертификата: пожизненно.
Сертификация Linux Professional LPIC-1 – Базовый уровень
LPIC-1 включает 2 экзамена под номерами 101 и 102. Каждый из них длится 90 минут и состоит из 60 вопросов с несколькими вариантами ответов и вопросов с заполнением пропусков. Стоимость каждого экзамена: 140 EUR. Срок действия сертификата: 5 лет.
Сертификация LPIC-1 проверяет и подтверждает способность ИТ-специалистов выполнять задачи с помощью командной строки, устанавливать и настраивать компьютер под управлением Linux, а также уметь осуществлять базовую настройку сети.
Сертификация Linux Professional LPIC-2 – Углубленный уровень
Для получения сертификации LPIC-2 необходимо сдать два экзамена – 201 и 202. Стоимость каждого экзамена: 140 EUR. Для допуска к сдаче необходимо иметь базовую сертификацию LPIC-1. Каждый из экзаменов длится 90 минут и состоит из 60 вопросов. Срок действия сертификата: 5 лет.
Сертификация LPIC-2 проверяет способность администрировать смешанные сети малого и среднего размера.
Сертификация Linux Professional LPIC-3 – Enterprise уровень
Cертификация LPIC-3 имеет 3 направления с углублением в определенную технологию. Для допуска к сдаче необходимо иметь активную сертификацию LPIC-2.
“LPIC-3 Enterprise Mixed Environment” (экзамен 300) проверяет способность интегрировать службы Linux в смешанную корпоративную среду.
“LPIC-3 Enterprise Security” (экзамен 303) проверяет способность осуществлять защиту серверов, служб и сетей на базе Linux в масштабе предприятия.
“LPIC-3 Enterprise Virtualization and High Availability” (экзамен 304) тестирует способность планировать и внедрять виртуализацию и настройки высокой доступности в масштабе предприятия с использованием технологий на базе Linux.
Каждый из экзаменов LPIC-3: длится 90 минут и состоит из 60 вопросов. Стоимость одного экзамена: 140 EUR. Срок действия любого из сертификатов: 5 лет.
LPI также имеет сертификации “Certified DevOps Tools Engineer” и “BSD Specialist”.