Различия

Показаны различия между двумя версиями страницы.

--- russianway:jms [2024/12/14 09:54] – [Настройка MSCA Proxy] root
+++ russianway:jms [2024/12/21 19:00] (текущий) – внешнее изменение 127.0.0.1
@@ Строка 1: / Строка 1: @@
 ====== Установка тестовой среды с JMS 4 LX ======
 ===== Подготовка сервера ALSE 1.7.4 для JMS4LX =====
+Порты для подключений:
+JMS: 5000, 5001/tcp
+JWA: 8120, 8121, 8122/tcp
   * Перечень компонент:{{ :russianway:pasted:20241212-212556.png }}
   * УЗ: {{ :russianway:pasted:20241212-212740.png }}
@@ Строка 127: / Строка 131: @@
 }
 EOF
+</code><code bash>
 systemctl restart eap-web-admin
 </code>
+  * <code bash>
+mkdir /etc/aladdin/eap-web-admin/ssl
+cp -v /distrib/jms.pfx /etc/aladdin/eap-web-admin/ssl
+Aladdin.EAP.Agent.Terminal ssl enable --path /etc/aladdin/eap-web-admin/ssl/jms.pfx --password 1234567890 </code><code bash>
+sed -i 's/"IntegrationApiUrl":.*/"IntegrationApiUrl":"https:\/\/jms.ald.sovint.ru:8120",/g' /etc/aladdin/eap-web-admin/appsettings.json
+sed -i 's/"AuthenticationApiUrl":.*/"AuthenticationApiUrl":"https:\/\/jms.ald.sovint.ru:8121",/g' /etc/aladdin/eap-web-admin/appsettings.json
+</code><code bash>nano /etc/aladdin/eap-web-admin/appsettings.json</code><code json>
+"Kestrel": {
+  "Endpoints": {
+    "Http": {
+      "Url": "http://localhost:5001"
+    },
+    "Https": {
+      "Url": "https://*:5000",
+      "Certificate": {
+        "Path": "/etc/aladdin/eap-web-admin/ssl/jms.pfx",
+        "Password": "1234567890"
+        }
+      }
+    }
+  },
+</code><code bash>systemctl restart eap-web-admin</code>
+  * <code bash>sed -i 's/"AuthApiURL":.*/"AuthApiURL": https\/\/jms.ald.sovint.ru:8121/g' /etc/aladdin/jwa-service/appsettings.json
+sed -i 's/"ClientApiURL":.*/"ClientApiURL": https\/\/jms.ald.sovint.ru:8122/g' /etc/aladdin/jwa-service/appsettings.json</code>
+  * <code bash>sudo Aladdin.EAP.Agent.Terminal certificates install --path jms_enroll.pfx --password 1234567890</code>
+==== Установка JMS Web Agent====
+  * <code bash>
+sudo apt install pcscd -y
+sudo apt install -f ./jcpkcs11-2_2.9.0.874_al_x64.deb
+sudo apt install -f ./aladdin-jms-web-agent_4.1.0.62.44_x64.deb
+/opt/jms-client/Aladdin.JMS.WebAgent --jms-host jms.ald.sovint.ru –-jms-web-
+host jms.ald.sovint.ru
+/opt/jms-client/jwa-service.sh bg
+</code>
+==== Импорт сертификатов ====
 ===== Настройка MSCA Proxy =====
 Входящие порты:
@@ Строка 135: / Строка 178: @@
   * Установить .NET 4.8 Framework https://go.microsoft.com/fwlink/?linkid=2088631
   * Установить Aladdin.CAProxyService-1.0.0.4-x64
+  * <code cmd>netsh http add sslcert ipport=0.0.0.0:6611 certhash=fd20805c859aedb31de3e12b3800db6c99ca7429 appid={670f608f-28ad-4724-8264-7b3c0eb2dfd6}</code>
   * Выполнить проверку работы сервиса: http://localhost:6610/api/ca/ping
+  * Создать пользователя
+    * **ca_proxy_user**
+  * Создать группу
+    * **CA_PROXY_GROUP**
+    * включить в группу **CA_PROXY_GROUP** пользователя **ca_proxy_user**
+  * Запустить reg-файл <code reg>Windows Registry Editor Version 5.00
+[HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\CA Proxy Service\MSCAProxyWebApi]
+"MSCAProxyWebApiAddresses"="http://*:6610;https://*:6611"
+"AuthorizeAsGroupMember"="CA_PROXY_GROUP"
+"AuthorizationGroupStore"="Machine"</code>
+  * Перезапустить службу <code cmd>net stop CAProxySvc_default
+net start CAProxySvc_default</code>
 ===== Настройка профилей JMS =====
 ===== Certificate Authority =====
+==== Шаблон JMS Web Server ====
   * ** Certification Authority** -> Certificate Templates -> Manage
     * Web Server -> Duplicate Template
@@ Строка 156: / Строка 213: @@
     * ** Certification Authority** -> Certificate Templates -> New
       * JMS Web Server
+==== Выпустить сертификат JMS Server ====
     * certlm.msc Выпустить сертификат для JMS
       * create custom request
@@ Строка 166: / Строка 224: @@
           * Extensions
             * Key Usage: Digital Signature, Key Encipherment
-      * ** Certification Authority** -> Submit new request
+      * Экспортировать сертификат в формате pxf (опцию Include all certificatation path if possible НЕ УКАЗЫВАТЬ!)
-        * Указать запрос на сертификат.
+      * Так же, выгрузить корневой сертификат.
-        * Выпустить сертификат
+ ==== Выпустить сертификат MSCA Proxy ====
-        * Полученный сертификат импортировать в хранилище сертификатов компьютера.
+    * certlm.msc Выпустить сертификат для JMS
-        * Экспортировать сертификат в формате pxf (опцию Include all certificatation path if possible НЕ УКАЗЫВАТЬ!)
+      * create custom request
-        * Так же, выгрузить корневой сертификат.
+        * JMS Web Server
-        *
+          * Subject
+            * Common Name: mscaproxy.ald.sovint.ru
+            * DNS: mscaproxy.ald.sovint.ru
+          * Extensions
+            * Key Usage: Digital Signature, Key Encipherment
+ ==== Выпустить сертификат JMS Enrollment Agent Computer ====
+    * certlm.msc Выпустить сертификат для JMS
+      * create custom request
+        * JMS Enrollment Agent (Computer)
+          * Subject
+            * Common Name: jms.ald.sovint.ru
+            * DNS: jms.ald.sovint.ru
+    * Экспортировать в pfx.
 ===== Domain Controller =====
   * **certlm.msc** - Выпустить сертификат на Контроллеры домена по шаблону **Kerberos Authentication**
@@ Строка 180: / Строка 250: @@
       * Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Interactive Logon: Smart Card Removal Behavior -> Disconnect if a remote Remote Desktop Services session
+===== Создание профилей JMS =====
+  * Выполнить привязку профилей по умолчанию:
+    * Инициализация JaCarta PKI по умолчанию
+    * Профиль выпуска по умолчанию
+    * Профиль клиентского агента по умолчанию
+  * Создать профиль выпуска "Выпуск сертификатов - УЦ Microsoft СА"
+    * Прокси сервер:
+      * Адрес прокси-сервера: **https://ca.ald.sovint.ru:6611**
+      * Логин: **ca_proxy_user**
+    * Тип подписи запроса из консоли управления JMS: **Общий (подпись запроса на** сервере)
+    * Шаблоны сертификатов
+      * Пользователь:	**JMSSmartcardUser**
+      * Администратор:	**JMSSmartcardUser**
+    * Типы приложений: **PKI**
+    * Криптопровайдер для генерации ключевой пары: **Microsoft Base Smart Card Crypto Provider**