Продукты: Indeed PAM
Раздел: Технические вопросы

Описание: Замена сертификатов в инсталляции PAM

При замене сертификатов учитывайте следующие моменты:

1. Поддерживаемые типы сертификатов:
Допускается использование:
- обычных сертификатов (выданных на FQDN сервера),
- wildcard-сертификатов,
- самоподписанных сертификатов.

2. Самоподписанные сертификаты:
При их использовании корневой сертификат обязательно должен быть добавлен в хранилище доверенных корневых сертификатов на всех серверах инфраструктуры, чтобы обеспечить взаимное доверие между компонентами.

3. Замена сертификата УЦ (удостоверяющего центра):
- Если новый сертификат УЦ создаётся с теми же приватными ключами, замена всех сертификатов в инсталляции не требуется.
- Если УЦ создаётся с новой парой ключей, необходимо заменить все ранее выданные сертификаты во всей инсталляции.
Подробнее о замене сертификата УЦ в Microsoft Certification Authority см. в официальной документации Microsoft.

4. Использование стороннего УЦ:
Убедитесь, что корневой сертификат стороннего УЦ установлен на всех машинах инсталляции в хранилище доверенных корневых сертификатов.

Требования к сертификатам

Сертификаты должны соответствовать следующим требованиям:

- Формат: PEM / X.509 (*.crt) или PKCS #12 (*.pfx);
- Срок действия: сертификат должен быть действующим;
- Длина ключа: RSA не менее 2048 бит;
- Обязательно указаны Common Name (CN) и Subject Alternative Name (SAN);
- В SAN должен быть перечислен FQDN каждого хоста, для которого предназначен сертификат;
- Указан Enhanced Key Usage (EKU): Server Authentication;
- Указан Key Usage: Digital Signature, Key Encipherment.

Примечание по wildcard-сертификатам:
Современные клиенты (включая браузеры и системные службы) игнорируют поле CN и используют только SAN. Поэтому wildcard-запись (например, *.pam.indeed.com) должна быть указана в SAN, а не только в CN.

Правила формирования сертификатов для хостов

• Каждый хост использует только один сертификат.
• CN и SAN сертификата обязательно должны содержать FQDN этого хоста.
• Если хост:
  • участвует в балансировке трафика и/или предоставляет доступ через общий FQDN PAM (например, pam.example.com),
    → в SAN также должен быть включён этот общий FQDN PAM.

Замена сертификатов на Windows

Сервер управления

1. Установите корневой сертификат УЦ в хранилище «Доверенные корневые центры сертификации» (локальный компьютер).
2. Импортируйте сертификат сервера (в формате .pfx) в хранилище «Личные» → «Сертификаты» (локальный компьютер).
3. В IIS:
- Откройте Default Web Site→ Bindings;
- Для каждой привязки типа https выберите новый сертификат.

Сервер доступа

1. Установите корневой сертификат УЦ в хранилище «Доверенные корневые центры сертификации».
2. Импортируйте сертификат сервера (.pfx) в «Личные» → «Сертификаты».

3. Внесите изменения в конфигурационный файл GatewayService (версия 2.10+):
- Перейдите в C:\Program Files\Indeed\Indeed PAM\Gateway\Pam.Gateway.Service\
- Откройте файл appsettings.json;
- В секции Kestrel замените значение параметра Subject на Subject из нового сертификата.

4. Если в SAN сертификата отсутствует IP-адрес сервера, измените URL в конфигурации ProxyApp:
- Файл C:\Program Files\Indeed\Indeed PAM\Gateway\ProxyApp\appsettings.json
- В секции GatewayService замените IP-адрес на FQDN сервера.

5. Обновите сертификаты в Службах удалённых рабочих столов:
- Откройте Диспетчер серверов → Службы удалённых рабочих столов → Общие сведения;
- В разделе «Обзор развертывания» нажмите «Задачи» → «Изменить свойства развертывания»;
- На вкладке «Сертификаты» для следующих ролей:
- Посредник подключений к удалённому рабочему столу: включение единого входа,
- Посредник подключений к удалённому рабочему столу: публикация

• Нажмите «Выбрать существующий сертификат»;
• Нажмите «Обзор», укажите .pfx-файл;
• Введите пароль от сертификата.

При балансировании нагрузки используется сертификат на общее имя PAM

Замена сертификатов на Linux

Подготовка

- Корневой сертификат УЦ должен быть в формате PEM, с кодировкой Base64, алгоритм подписи — SHA256.
- При замене сохраняйте исходные имена файлов.
- Если у вас есть .pfx-файл, извлеките из него открытую и закрытую части:

openssl pkcs12 -in web.pfx -clcerts -nokeys -nodes -out pam.crt
openssl pkcs12 -in web.pfx -nocerts -nodes -out pam.key

Сервер управления и сервер доступа

1. Корневые сертификаты УЦ разместите в:
/etc/indeed/indeed-pam/ca-certificates/
2. Сертификаты сервера:
- pam.crt → /etc/indeed/indeed-pam/certs/
- pam.key → /etc/indeed/indeed-pam/certs/ и /etc/indeed/indeed-pam/keys/rdp-proxy/ (только для сервера доступа)

Примечание: если в /etc/indeed/indeed-pam/certs/ присутствуют самоподписанные сертификаты (pam-selfsigned.*), созданные при первоначальной настройке, их заменять не нужно, если вы не меняете тип сертификата.

Сертификаты балансировщика PAM:

1. Корневые сертификаты удостоверяющего центра разместить по пути:

/etc/indeed/indeed-pam/ca-certificates/

2. Сертификаты сервера (pam.crt, pam.key) разместить по пути:

/etc/indeed/indeed-pam/certs/

Примечание: Контейнер балансировщика принимает только корневой сертификат удостоверяющего центра с именем ca.crt.

Применение изменений

После размещения всех файлов:

1. Выполнить сценарий для применения прав на файлы в директории /etc/indeed/indeed-pam/

cd /etc/indeed/indeed-pam/
bash ./scripts/set-permissions.sh

2. Перезапустите PAM-контейнеры:

bash /etc/indeed/indeed-pam/scripts/run-pam.sh

⚠️ Важно: скрипт обязательно запускайте из директории /etc/indeed/indeed-pam/. Иначе возможна некорректная настройка прав, что приведёт к отказу работы системы.