Установка ViPNet Prime

Содержание

3.Запуск ViPNet Prime

1.Подготовка к установке ViPNet Prime

Подготовка - это неотъемлемая часть перехода с ViPNet Administrator на ViPNet Prime. Нам нужно импортировать куда-то данные, мы должны их импортировать в Prime.

1.1 Системные требования ViPNet Prime

В отличие от ViPNet Administrator, Prime устанавливается только на Linux.

Прайм можно поставить на:

• Astra Linux Special Edition

(«Смоленск») 1.7.5, 1.8.1

(«Воронеж») 1.7.5, 1.8.1

• Ubuntu 22.04.5 LTS

Также Prime поддерживает среды виртуализации :

• VMware vSphere,

• Workstation Pro

• Proxmox

• ПК СВ «Брест»

• zVirt

Характеристики компьютера,которые необходимы для установки и запуска Prime:

• Оперативная память 32 Гбайт

• Процессор 16 ядер

• Свободное место на жестком диске от 500 Гбайт

1.2 Что из себя представляет Prime?

ViPNet Prime - это веб-приложение, у него есть серверная часть, которая состоит из двух частей, которые работают в комплексе:

К нему относится:

• ViPNet Prime Core KC - это ядро системы;

• VPN-часть ViPNet Prime VPN KC.

Базовые компоненты Prime Management Services:

• ViPNet Prime Core MS

• ViPNet Prime VPN MS

• Транспортный сервер (отсутствовал в ПО ViPNet Administrator, это новый компонент)

1.3 Что еще нужно перед установкой и настройкой ViPNet Prime ?

1. Утилита верификации ViPNet Prime Verification Tool и утилита миграции ViPNet Prime Migration Tool. Они должны быть установлены перед миграцией программного обеспечения.

2. Также на машине с Prime должен быть установлен клиент ПО ViPNet Client 5 for Linux.

3. Если вы планируете использовать сертификаты ГОСТ для подключения к серверу, для дальнейшей аутентификации в Prime по сертификатам. Потому что Prime помимо пароля аутентификации поддерживает вход по сертификатам, вам потребуется ViPNet PKI Client.

4. Файл лицензии на сеть ViPNet *.itcslic с тем же номером сети из ViPNet Administrator, потому что важно соблюсти это критерий, файл лицензии должен быть заказан на тот же номер сети.

5. Доменные имена для ViPNet Prime должны быть заранее подготовлены, потому что по ходу установки мигратор будет у нас спрашивать доменные номера, прописанные на DNS-сервере.

6. Два набора сертификатов в формате PEM - на ГОСТ и RSA-алгоритмах. Сертификаты на RSA-алгоритмах будут использоваться для взаимодействия компонентов системы и сертификаты на ГОСТ алгоритмах, если планируется защищать наше соединение на ГОСТ-сертификатах между АРМ администратора и сервера Prime или аутентифицироваться в будущем в систему по сертификату.

7. Для некоторых классов защиты потребуется аппаратно-программный модуль доверенной загрузки. Он не только отвечает за доверенную загрузку, но и может быть использован как физический датчик случайных чисел. Для других исполнений Prime поддерживает работу с биологическим датчиком случайных чисел, а также программный датчик нативную энтропию.

8. Принтер для печати ПИН-конвертов потребуется для того чтобы печатать пароли от дистрибутивов, которые в последствии будут использованы на управляемых узлах.

1.4 Варианты и способы установки

Развертывание ViPNet Prime можно осуществить либо на одну машину, либо на две. Отличаться это будет тем, что на одной машине будут базовые компоненты Prime Key Center и Prime Management Services и модули управления политиками Policy Manager и модуль NVS.

Если мы хотим балансировать нагрузку, может быть у нас большая сеть для цели масштабирования, мы можем модуль мониторинга вынести на отдельную машину. Остальные части на отдельную машину не выносятся.

В статье рассмотрим установку на 1 машину.

2.Установка Prime ViPNet

ОС: Astra Linux Special Edition («Смоленск») 1.7.5.9

Среда виртуализации: VMware Workstation

Источник случайных чисел: встроенный генератор случайных чисел ОС

Вариант установки:

• установка на 1 машину

• с помощью deployment configurator и параллельно с помощью утилиты быстрой установки с графическим интерфейсом с установкой в автоматическом режиме

На рисунке 1 показаны директории, как расположен комплект поставки. Поставка на трех дисках, ViPNet Prime Key Center в отдельной директории, также есть папка с ПО,где есть необходимые файлы для установки.

Рис.1 Директории с расположением комплекта поставки

2.1 Установка ViPNet Prime с помощью deployment configurator

Шаг 1. Распаковка компонентов ViPNet Prime.

Для распаковки архива с ПО мы используем специальную команду. Все команды есть в руководстве.

$ sudo find . -name "extract-dist.sh" -exec chmod +x {} \; -exec {} -c \;

Внимание! Prime лучше не ставить по SSH на случай разрыва соединения или каких-нибудь неполадок с электричеством, например, разрыв связи. Лучше ставить его локально, потому что в случае разрыва придется начинать всё сначала.

Рис. 2 Запуск команды для распаковки

В процессе установки, если вы обнаружите ошибку (например, при вводе IP‑адресов), вы можете прервать процедуру и начать её заново. При этом дополнительная очистка директорий не потребуется.

Распаковка может занять некоторое время, порядка 2-3 минут и далее можно приступать к шагу создания запроса на сертификаты.

Шаг 2. Запрос сертификатов ГОСТ.

Для запроса есть специальный скрипт, который поможет его создать.

Перед запросом мы должны запустить настройку окружения доверенной среды Astra Linux и установку компонентов.

Для этого перейдите в папку с архивом ViPNet Prime Core KC:

$ cd /infotecs/1.9.11.1/core-kc.prime_cert.<номер_версии>/ 3

Распакуйте архив:

$ sudo chmod +x ./extract-dist.sh

$ sudo ./extract-dist.sh -c

Архив распакуется в папку по умолчанию /usr/share/infotecs/prime/deployment/core-kc.

Если ранее вы не установили сторонние компоненты ViPNet Prime Core KC, установите их:

$ sudo /usr/share/infotecs/prime/deployment/core-kc/install-3d-party.sh

Рис. 3 Процесс запуска настройки окружения доверенной среды Astra Linux и установка компонентов

Рис.4 Характеристики виртуального демонстрационного стенда

Мы должны дождаться завершения настройки окружения и система спросит о том, можно ли перезагрузиться, нужно согласиться.

Рис.5 Запрос на перезагрузку

После перезагрузки необходимо вернуться на рабочую машину и повторно запустить скрипт настройки доверенной среды для доустановки требуемых компонентов. После этого можно приступить к генерации запроса на сертификат.

Для установки сторонних компонентов выполните:

$ sudo /usr/share/infotecs/prime/deployment/core-kc/install-3d-party.sh

Рис. 6 Повторный запуск скрипта для доустановки компонентов

Перед запуском скрипта на генерацию запроса на сертификат мы должны будем инициировать программный датчик случайных чисел.

Чтобы настроить программный датчик случайных чисел:

$ sudo /opt/itcs/bin/uprngctl setentropylist -c -l native 13

Перейдите в папку со скриптом create-gost-tls-key.sh:

$ cd /usr/share/infotecs/prime/deployment/core-kc/

Запустите скрипт:

$ sudo ./create-gost-tls-key.sh

Рис. 7 Запуск скрипта по генерации запроса на сертификат

Далее необходимо ввести доменные имена (без имени хоста), используемые для подключения к веб‑интерфейсу ViPNet Prime, а также пароль от контейнера с закрытым ключом, который система запросит в процессе установки.

Скрипт создаст файлы запроса и закрытого ключа в папке /usr/share/infotecs/prime/deployment/core-kc.

Рис. 8 Ввод пароля от контейнера

Затем мы выбираем установку базовых компонентов, на рисунке 9 мы видим Prime Key Center, Prime Management Services.

Рис. 9 Список компонентов Prime

Далее происходит дораспаковка всех оставшихся необходимых компонентов для инсталляции и система начнет нам задавать вопросы про доменные имена, IP-адрес, сертификаты. Некоторые вопросы могут показаться одинаковыми, потому что система задает вопросы и про Key Center и про Management Services.

Внимание! Будьте внимательны при изучении руководства по установке, потому что там указано как правильно называть сертификаты,чтобы система из автоматически подцепила.

И при установке ГОСТ сертификатов система попросит у нас пароль от контейнера.

Рис.10 Первый вопрос от системы про установку компонентов

Мы устанавливаем систему на одну машину, поэтому здесь мы соглашаемся.

Дальше система задает вопрос про выбор датчика: биологический датчик, физический или нативный.

Мы выбираем нативный датчик.

Рис. 11 Выбираем нативный датчик

И затем мы указываем пути к сертификатам.

Рис. 12 Ввод путей к сертификатам

Мы соглашаемся на установку дополнительных сертификатов, здесь речь про сертификаты ГОСТ. Вводим пути для них, а также пароль от PFX-контейнера.

Рис. 13 Ввод пароля от PFX-контейнера

Далее мы вводим доменное имя и порт (по умолчанию 443), по ним вы будете подключаться к веб-интерфейсу ViPNet Prime, также вводим статический IP-адрес компьютера с ViPNet Prime (запись будет добавлена в /etc/hosts).

Так как у нас одна машина, адрес у нас будет один и тот же.

Рис. 14 Процесс ввода данных

Шаг 3. Установка компонентов Key Center и Management Services

Теперь мы устанавливаем Key Center VPN. Отвечаем на те же самые вопросы, здесь мы введем другой домен, а порт сохраним такой же. IP-адрес оставляем тот же.

VPN часть должна знать домен ядра, это обязательно для обмена информацией между друг другом.

Рис. 15 Процесс установки Key Center

Дальше система автоматически сгенерирует идентификатор транспортного клиента, здесь мы соглашаемся.

Следом система предлагает поддержку создания дочерних организаций —мы всегда соглашаемся. Потому что иерархию можно создать внутри Prime для одного номера сети и во время установки Prime мы рекомендуем всегда выбирать поддержку иерархии организаций.

Рис. 16 Запрос на поддержку создания дочерних организаций

На следующем этапе продолжается установка компонентов Key Center и Management Services. В ходе этого шага потребуется повторно выбрать сертификаты, указать вариант установки компонентов на один компьютер, а также вновь ввести доменные имена соответствующих частей системы и IP‑адрес.

Система запрашивает данные повторно, поскольку предусматривает возможность изменения доменных имён и использования различных портов — в зависимости от особенностей настройки вашей инфраструктуры. В рамках данной инструкции для упрощения применяются одинаковые значения.

Далее система предложит включить Rollout Module. На данном этапе рекомендуется отказаться от его активации, так как для работы модуля требуются дополнительные средства защиты, которые в текущей конфигурации не используются.

После выполнения перечисленных действий конфигурирование Prime будет завершено. Установщик приступит к инсталляции в соответствии с заданными параметрами. Процесс установки занимает ориентировочно 15–20 минут — дождитесь его завершения.

Финальным этапом установки является запрос на ввод Master PIN. Введите требуемое значение и обязательно сохраните Master PIN в надёжном месте: учтите, что он не подлежит сбросу или восстановлению.

Рис. 17 Ввод Master PIN

Теперь мы можем входить в Prime.

2.2 Установка и настройка ViPNet Prime с помощью утилиты

В соответствии с инструкцией перед запуском утилиты быстрой установки Simple Installer необходимо предварительно подготовить требуемые директории и выполнить распаковку файлов. Также следует заранее разместить сертификаты в предназначенных для них каталогах. Это обязательное условие: при старте установки утилита должна автоматически обнаружить и подключить все необходимые ресурсы — сертификаты, установочные скрипты и прочие компоненты, требуемые для корректного выполнения процесса инсталляции.

Рис. 18 Приветствие утилиты установки

Шаг 1. Указание настроек.

Разница в установке будет в том, что сначала до установки мы сконфигурируем нашу систему. Выбираем действие «Указание настроек».

Рис. 19 Главное меню инсталлятора

Запускаем действие и начинаем с ввода доменных имен.

Рис. 20 Меню указания настроек

Здесь наше доменное имя будет отличаться, потому что у нас другая виртуальная машина.

Рис.21 Ввод доменного имени

Необходимо заранее ввести доменные имена для следующих компонентов: ядра, модуля ViPNet VPN, ViPNet Policy Manager Module и модуль NVS. Даже если какие‑либо из указанных модулей не планируется использовать в дальнейшей работе, их доменные имена всё равно следует задать — это обязательное условие для корректной работы утилиты автоматической установки.

После ввода данных утилита запросит подтверждение правильности указанных значений. Внимательно проверьте введённые доменные имена. Если ошибки отсутствуют, подтвердите корректность данных, продолжив процесс установки.

Рис.22 Проверка введенных данных

На следующем этапе необходимо указать порты. В данном случае следует задать порт 443 — это обусловлено использованием различных доменных имён. После ввода данных обязательно проверьте корректность указанных значений и, убедившись в их правильности, подтвердите выбор для продолжения установки.

Рис.23 Значения портов

На следующем шаге требуется указать учётную запись Client for Linux. В качестве такой учётной записи следует использовать учётную запись операционной системы root — именно для неё будет предоставлен дистрибутив.

Рис.24 Ввод имени учетной записи

На этапе указания сертификатов система автоматически обнаружит подготовленные файлы — при условии, что все папки и файлы сертификатов были корректно именованы в соответствии с требованиями. Если предварительная подготовка выполнена правильно, система самостоятельно найдёт необходимые сертификаты. В этом случае остаётся лишь подтвердить их использование, согласившись с предложенными значениями.

Рис.25 Информация о сертификатах

Дальше указываем имя сетевого интерфейса, с которого необходимо получить IP-адрес.

Рис.26 Указание имени сетевого интерфейса

Шаг 2. Подтверждение настроек

Финальная стадия - подтвердить все настройки.

Рис.27 Применение настроек

По сути, выполненные действия аналогичны тем, что производятся в конфигураторе, — разница лишь в том, что сейчас все настройки задаются через терминал. Единственное существенное отличие: утилита предварительно запросит номер сети, если осуществляется переход с ViPNet Administrator на ViPNet Prime. В случае подготовки Prime для миграции укажите прежний номер сети и подтвердите ввод.

Далее потребуется выбрать вариант развёртывания. В данном сценарии следует указать развёртывание на одной машине. Вариант развёртывания на двух машинах доступен, если планируется вынести модуль NVS на отдельный компьютер, однако в текущей процедуре это не предусматривается.

На завершающем этапе утилита миграции выполнит контрольную проверку заданных параметров. Внимательно проверьте все указанные значения: доменные имена, порты, выбранные сертификаты, сроки их действия, а также корректность указания учётной записи для Client. Убедитесь, что все данные введены верно, после чего подтвердите их для продолжения установки.

Рис.28 Контрольная проверка введенных значений

Шаг 3. Распаковка компонентов

Дальше нам нужно также запустить распаковку. Выбираем в главном меню действие «Распаковка и установка» > «Распаковка дистрибутивов».

Рис.29 Раздел распаковки компонентов

Мы все уже скопировали специальном образом и сейчас будем запускать распаковку базовых компонентов.

Рис.30 Запуск распаковки компонентов ViPNet Prime

Рис.31 Процесс распаковки архивов ViPNet Prime

Шаг 4. Настройка окружения и установка компонентов

После успешной распаковки файлов необходимо выполнить настройку окружения доверенной среды Astra Linux. Для этого приступаем к установке всех требуемых компонентов окружения.

На начальном этапе система автоматически подготовит необходимые компоненты. Далее потребуется выбрать тип установки базовых компонентов. Перед началом процесса система запросит предпочтительный режим установки — ручной или автоматический. В данном случае следует выбрать автоматическую установку.

Рис.32 Выбор типа установки

На следующем этапе вы увидите процесс, аналогичный тому, что происходил при установке ViPNet Prime с использованием Deployment Configurator. Система приступает к настройке окружения в доверенной среде и последовательно устанавливает все необходимые компоненты для полноценной инсталляции.

Важное отличие данного способа установки от предыдущего варианта: система выполнит перезагрузку автоматически — без дополнительного запроса разрешения на ребут.

Рис.33 Процесс установки

Утилита быстрой установки предоставляет два режима работы: автоматический и ручной. Ручной режим позволяет выполнить более тонкую настройку системы — при его выборе пользователю предстоит последовательно ответить на ряд вопросов, практически идентичных тем, что задаются при установке через Deployment Configurator.

В отличие от ручного способа, автоматическая установка предполагает предварительную конфигурацию системы: все необходимые параметры задаются заранее, а процесс инсталляции выполняется без дополнительного вмешательства пользователя. Однако у автоматического режима есть определённые ограничения. В частности, система не запрашивает параметры генерации энтропии и выбора источника случайных чисел — по умолчанию используется нативная энтропия (программный датчик). При необходимости источник случайных чисел можно изменить после завершения установки — подробная инструкция по этому процессу приведена в руководстве.

Для корректной работы утилиты необходимо предварительно установить три специальных пакета. Утилита осуществляет их поиск при запуске, и отсутствие этих компонентов приведёт к невозможности начала установки. Чтобы избежать этой проблемы, обеспечьте доступ к репозиторию, содержащему требуемые пакеты. Их точные названия и назначение указаны в сопроводительной документации — конкретные требования зависят от конфигурации вашей инфраструктуры.

По завершении настройки окружения система автоматически перезагружается. После возврата в Astra Linux необходимо повторно запустить установщик — это позволит перейти к непосредственной инсталляции после распаковки всех компонентов. На данном этапе рекомендуется снова выбрать автоматический режим установки.

Важно учитывать ключевое отличие утилиты быстрой установки от Deployment Configurator: после завершения процесса автоматическая инициализация базовых компонентов не выполняется. В частности, система не запросит ввод Master PIN, как это происходит при использовании Configurator. Для завершения настройки потребуется вручную запустить компоненты и выполнить сценарий ввода Master PIN, а также инициализации Prime. Все необходимые действия подробно описаны в инструкции — настоятельно рекомендуется внимательно изучить её перед началом установки.

Рис.34 Продолжение установки

3.Запуск ViPNet Prime

После завершения установки вы можете выполнить вход в систему Prime. Для этого используйте учётные данные (логин и пароль), указанные в руководстве в качестве стандартных (дефолтных). Обратите внимание: сразу после успешного входа необходимо в обязательном порядке сменить эти учётные данные на собственные — это важное требование безопасности, обеспечивающее защиту вашей системы.

Рис. 35 Окно входа в Prime

После входа в систему необходимо выполнить регистрацию модулей. В первую очередь требуется подключить модуль ViPNet VPN к ядру системы. Для этого наведите курсор на значок модуля VPN и выполните щелчок левой кнопкой мыши, после чего нажмите кнопку «Принять» для подтверждения подключения модуля к системе.

Рис. 36 Регистрация модулей Prime

Все модули проходят процедуру регистрации исключительно при непосредственном подтверждении администратора — ни один из них не может присоединиться к системе без вашего явного согласия.

После того как регистрация модуля ViPNet VPN будет успешно завершена, на левой панели интерфейса появится соответствующий значок, визуально подтверждающий подключение модуля к системе.

Рис. 37 Модуль VPN

На данном этапе требуется выполнить дополнительную настройку модуля VPN. Для этого необходимо загрузить файл лицензии — убедитесь, что он был заказан с указанием того же номера сети, который планируется использовать при последующей миграции.

Рис. 38 Выбор файла лицензии

После запуска мастера установки вы увидите стартовое окно приветствия. Для продолжения работы нажмите кнопку «Далее», после чего нажмите «Загрузить».

Рис. 39 Загрузка лицензии

На данном этапе подготовка к дальнейшей миграции завершена. Загрузка лицензии выполняется в кратчайшие сроки. После её завершения никаких дополнительных действий в системе Prime предпринимать не требуется — в частности, создавать дополнительные узлы на этом этапе не нужно.

Таким образом, процесс установки ViPNet Prime считается оконченным.

Рис. 40 Список лицензий