Как запустить ceni в debian
Перейти к содержимому

Как запустить ceni в debian

  • автор:

Как запустить ceni в debian

Параметры загрузки — это параметры ядра Linux, которые обычно используются для того, чтобы указать присутствующие периферийные устройства. В большинстве случаев ядро может определить периферийные устройства автоматически. Однако, иногда вы должны немного помочь ядру.

Если вы в первый раз загружаете систему, попробуйте параметры загрузки по умолчанию (то есть не пытайтесь их изменять) и посмотрите, корректно ли всё работает. Скорее всего, так оно и будет. Если нет, вы сможете позже перезагрузиться и поискать специальные параметры, которые помогут системе определить аппаратуру вашего компьютера.

Информацию о многих параметрах загрузки можно найти в Linux BootPrompt HOWTO, где можно найти советы советы и по нераспознанному оборудованию. В этом разделе содержатся только краткие сведения о наиболее важных параметрах. Некоторые распространённые ошибки включены ниже в Раздел 5.4, «Диагностика проблем процесса установки».

5.3.1. Загрузочная консоль

If you are booting with a serial console, generally the kernel will autodetect this. If you have a videocard (framebuffer) and a keyboard also attached to the computer which you wish to boot via serial console, you may have to pass the console= device argument to the kernel, where device is a serial device of the target, which is usually something like ttyS0 .

Вам может потребоваться указать параметры последовательного порта, такие как скорость и чётность, например console=ttyS0,9600n8 ; другие возможные скорости: 57600 или 115200. Проверьте, что указали этот параметр после « — » , так как он копируется в настройку системного загрузчика (bootloader) устанавливаемой системы (если это поддерживается программой установки для системного загрузчика).

Чтобы тип терминала точно совпал с типом эмулятора терминала, запускаемого программой установки, можно добавить параметр TERM= тип . Заметим, что программа установки поддерживает только следующие типы терминалов: linux , bterm , ansi , vt102 и dumb . По умолчанию для последовательного порта в debian-installer используется vt102 . Если вы используете консоль IPMI или виртуальную среду, например QEMU/KVM, которая сама не производит преобразование между типами терминалов, то можете запустить её внутри сеанса screen . При этом выполняется преобразование в тип терминала screen , который очень похож на vt102 .

5.3.2. Параметры программы установки Debian

Система установки анализирует некоторые дополнительные параметры загрузки [3] , что может быть полезно.

Некоторые параметры имеют « сокращённую форму записи » , что помогает избежать ограничений параметров командной строки ядра и облегчает ввод параметров. Если у параметра есть сокращённая форма, то она даётся в скобках после (обычной) длинной формы. В примерах руководства также используется сокращённая форма.

debconf/priority (priority)

Этот параметр задаёт низший приоритет отображаемых сообщений.

Значение по умолчанию равно priority=high . Это означает, что будут показаны сообщения с высоким и с критическим приоритетами, а сообщения со средним и низким приоритетами будут пропущены. В случае возникновения проблем, программа установки подстраивает значение приоритета.

Если вы добавите priority=medium в качестве параметра загрузки, то увидите меню программы установки и получите больший контроль над установкой. При использовании priority=low показываются все сообщения (эквивалентно методу загрузки expert ). Если указать priority=critical , то система установки будет показывать только критические сообщения и попробует всё сделать правильно самостоятельно.

Этот параметр загрузки контролирует тип пользовательского интерфейса, используемого программой установки. Возможные на текущий момент значения параметра:

По умолчанию выбран тип DEBIAN_FRONTEND=newt . Для установки через консоль на последовательном порту наиболее предпочтителен DEBIAN_FRONTEND=text . Некоторые специализированные установочные носители могут предлагать ограниченный список интерфейсов, но newt и text доступны в большинстве из них. На архитектурах, для которых есть поддержка, используется графический интерфейс программы установки gtk .

Присвоение этому загрузочному параметру значения 2 приводит к более подробному протоколированию процесса загрузки программы установки. Значение 3 приводит к запуску интерпретатора командной строки в наиболее важных точках процесса загрузки. (Завершение работы с интерпретатором приводит к продолжению процесса загрузки.)

BOOT_DEBUG=0

Значение по умолчанию.

BOOT_DEBUG=1

Подробней чем обычно.

BOOT_DEBUG=2

Много отладочной информации.

BOOT_DEBUG=3

В различных точках процесса загрузки будет вызван интерпретатор командной строки, чтобы разрешить детальную отладку. При выходе из интерпретатора загрузка продолжится.

Используется для указания программе установки отправлять сообщения протокола кроме локального файла ещё и удалённой службе syslog на указанный узел и порт. Если не задано, то портом по умолчанию является стандартный 514-й порт syslog.

Используется для указания программе установки выставить для lowmem больший уровень, чем это рассчитывается по умолчанию исходя из количества доступной памяти. Возможные значения 1 и 2. Смотрите также Раздел 6.3.1.1, «Определение доступной памяти / режим с малым потреблением памяти».

Указывает программе установки не запускать интерактивную оболочку на tty2 и tty3. Полезно при автоматизированной установке, где ограничена физическая безопасность.

Чтобы предложить установку на нескольких языках на некоторых архитектурах используется фрейм-буфер ядра. Если работа через фрейм-буфер вызывает проблемы на вашей системе, можно выключить его параметром vga=normal fb=false . Симптомы проблемы — сообщения об ошибках bterm или bogl, пустой экран или замирание на несколько минут в начале установки.

A theme determines how the user interface of the installer looks (colors, icons, etc.). Which themes are available may differ per frontend. Currently both the newt and gtk frontend have (apart from the default look) only one additional theme named « dark » theme, which was designed for visually impaired users. Set this theme by booting with theme= dark (there is also the keyboard shortcut d for this in the boot menu).

По умолчанию, debian-installer автоматически пытается настроить сеть через IPv6 autoconfiguration и DHCP. Если получение адреса прошло успешно, у вас не будет шанса пересмотреть и изменить полученные настройки. Вы сможете настроить сеть вручную только в случае ошибок при получении параметров автоматически.

Если в вашей локальной сети есть маршрутизатор IPv6 или DHCP сервер, но вы не хотите их использовать, потому что они, например, даёт неправильные ответы, то можете указать параметр netcfg/disable_autoconfig=true , чтобы отключить настройку сети (v4 и v6) и ввести информацию вручную.

Установите в false , чтобы избежать запуска служб PCMCIA, если это вызывает проблемы. Особенно полезно для некоторых ноутбуков.

Задайте url для загрузки файла с настройками и использования автоматической установки. Смотрите Раздел 4.6, «Автоматическая установка».

Укажите путь к файлу для загрузки настроек автоматической установки. Смотрите Раздел 4.6, «Автоматическая установка».

Установка в true включает отображение всех вопросов, даже для которых есть автоматизированный ответ. Может оказаться полезным при отладке или тестировании файла ответов. Заметим, что это не действует на параметры, указанные в приглашении к загрузке, для работы с ними используется специальный синтаксис. Смотрите Раздел B.5.2, «Использование автоматической установки для изменения значений по умолчанию».

Отложить вопросы, которые обычно задаются перед автоматической установкой, которые можно задать после настройки сети. Подробней об автоматизации установки смотрите в Раздел B.2.3, «Автоматический режим».

При установке с консоли на последовательном порту обычные виртуальные консоли (VT1-VT6) выключаются в /etc/inittab . Если установить в значение true , то этого не случится.

By default, before rebooting, debian-installer automatically ejects the optical media used during the installation. This can be unnecessary if the system does not automatically boot off such media. In some cases it may even be undesirable, for example if the optical drive cannot reinsert the media itself and the user is not there to do it manually. Many slot loading, slim-line, and caddy style drives cannot reload media automatically.

Чтобы запретить автоматическое извлечение задайте значение false , но проверьте, что система не загружается автоматически с компакт-диска после начальной установки.

Если назначить данному параметру значение false , то это отключит в системе управления пакетами установку « Рекомендуемых » пакетов, как во время установки так и в установленной системе.

Заметим, что этот параметр позволяет получить более отточенную систему, но это также может привести к отсутствию некоторых возможностей, которые вы рассчитывали получить. Для получения дополнительных возможностей вы можете установить некоторые рекомендуемые пакеты вручную. Поэтому этот параметр должен использоваться только очень опытными пользователями.

По умолчанию программа установки требует, чтобы репозитории аутентифицировались с помощью известного ключа gpg. Установка в true выключает данную аутентификацию. Предупреждение: это небезопасно, рекомендуется не делать этого.

Установка в true активирует режим восстановления, вместо обычного режима установки. Смотрите Раздел 8.6, «Восстановление неработающей системы».

5.3.3. Использование параметров загрузки для ответов на вопросы

За некоторым исключением, в приглашении к загрузке можно задать любые значения ответов на вопросы установки, хотя это полезно только в специфических случаях. Описание как это делать можно найти в Раздел B.2.2, «Использование параметров загрузки для автоматизации». Некоторые специальные примеры даны ниже.

debian-installer/language (language), debian-installer/country (country), debian-installer/locale (locale)

Есть два способа указать язык, страну и локаль, используемую при установки и в установленной системе.

Первый и самый простой — передать только параметр locale . Для языка и страны будет использовано вычисленное значение. Например, вы можете использовать locale=de_CH для выбора немецкого языка и Швейцарии в качестве страны (в установленной системе по умолчанию будет использована локаль de_CH.UTF-8 ). Этот способ имеет ограничения по комбинациям языка, страны и локали.

Второй, более гибкий способ — отдельно указать язык и страну . В этом случае locale можно задать дополнительно для выбора специфичной локали по умолчанию для установленной системы. Пример: language=en country=DE locale=en_GB.UTF-8 .

Может использоваться для автоматической загрузки компонент программы установки, которые не загружаются по умолчанию. В качестве примеров дополнительных полезных компонент, можно привести openssh-client-udeb (для того, чтобы во время установки можно было использовать команду scp ) и ppp-udeb (на настройки PPPoE) .

Установите в true , если хотите выключить IPv6 autoconfiguration и DHCP и задать настройки сети статически.

По умолчанию, программа установки использует протокол http для загрузки файлов с серверов-зеркал Debian, и изменить его на ftp невозможно при установке с обычным приоритетом. Установив этот параметр равным ftp , вы можете заставить программу установки использовать этот протокол. Заметим, что вы не сможете выбрать сервер-зеркало ftp из списка, вам придётся вводить имя вручную.

Может быть использована для выбора задач, которых нет в списке выбора в программе установки, например задача kde-desktop . Подробней смотрите в Раздел 6.3.6.2, «Выбор и установка программного обеспечения».

5.3.4. Передача параметров модулям ядра

Если драйверы встроены в ядро, вы можете передать им параметры как это описано в документации к ядру. Если же драйверы собраны как модули и так как модули ядра загружаются немного по-другому чем при загрузке установленной системы, невозможно передать параметры модулям обычным способом. Вместо этого вам нужно использовать специальный синтаксис, распознаваемый программой установки, которая сохраняет эти параметры в нужные конфигурационные файлы, для того чтобы использовать их при загрузке модуля. Параметры также будут автоматически включены в конфигурацию установленной системы.

Заметим, что теперь редко требуется указывать параметры модулям. В большинстве случаев ядро способно само определить имеющееся оборудование в системе и настроить его правильно. Однако иногда всё ещё может потребоваться установка параметров вручную.

Синтаксис установки параметров модулей:

имя_модуля.имя_параметра=значение 

Если требуется передать несколько параметров одному или разным модулям, то выражение повторяют. Например, чтобы указать старым сетевым картам 3Com использовать BNC (коаксиальный) разъём и IRQ 10, вы должны написать:

3c509.xcvr=3 3c509.irq=10

5.3.5. Внесение модулей ядра в чёрный список

Иногда бывает необходимо внести модуль в чёрный список, чтобы предотвратить его автоматическую загрузку ядром и udev. Одной из причин для этого может быть то, что этот модуль неправильно работает с вашим оборудованием. Также, иногда ядро имеет два разных драйвера для одного устройства. Это может приводить к неправильной работе устройства при конфликте драйверов, или если сперва загружается неправильный драйвер.

Чтобы внести модуль в чёрный список используйте следующий синтаксис: module_name .blacklist=yes . Это поместит модуль в чёрный список в файле /etc/modprobe.d/blacklist.local на время установки и в установленной системе.

Заметим, что модуль всё ещё может загружаться самой системой установки. Чтобы этого избежать, запустите установку в экспертном режиме и снимите выделение с модуля в списке модулей, отображаемого во время шага обнаружения оборудования.

[3] Текущие ядра (2.6.9 и новее) позволяют использовать 32 параметра в командной строке и 32 переменные среды. Если это количество превышено, то ядро попадает в режим паники. Также есть ограничение на 255 символов на всю длину командной строки, всё что свыше просто обрезается.

Пред. Наверх След.
5.2. Лёгкость управления Начало 5.4. Диагностика проблем процесса установки

Глава 8. Инструменты управления пакетами Debian

8.1. Какие программы для управления пакетами имеются в Debian?

В Debian для управления пакетами имеется множество средств, от программ с графическими или текстовыми интерфейсами, до низкоуровневых утилит установки пакетов. Корректная работа всех доступных инструментов зависит от низкоуровневых утилит, и все они представлены здесь в порядке уменьшения уровня сложности.

Важно понимать, что высокоуровневые инструменты управления пакетами, такие как aptitude или synaptic , для управления пакетами используют apt , который, в свою очередь, использует dpkg для управления пакетами системы.

See Chapter 2. Debian package management of the Debian reference for more information about the Debian package management utilities. This document is available in various languages and formats, see the Debian Reference entry in the DDP Users’ Manuals overview.

8.1.1. dpkg

Это основная программа управления пакетами. dpkg может вызываться с многими параметрами. Наиболее часто используемые из них:

  • Показать список всех параметров: dpkg —help
  • Показать управляющий файл (и другую информацию) для указанного пакета: dpkg —info foo_VVV-RRR.deb
  • Установить пакет на жёсткий диск (т. е. распаковать и настроить): dpkg —install foo_VVV-RRR.deb
  • Распаковать архив Debian на жёсткий диск (но не настраивать): dpkg —unpack foo_VVV-RRR.deb . Учтите, что в результате данной операции пакет не обязан быть в рабочем состоянии; для правильной работы может потребоваться внесение изменений в некоторые файлы. Данная команда удаляет любую ранее установленную версию программы и запускает сценарий preinst указанного пакета (см. Раздел 7.6, «Зачем нужны сценарии preinst, postinst, prerm и postrm?»).
  • Настроить пакет, который был распакован ранее: dpkg —configure foo . Кроме всего прочего, эта команда запускает сценарий postinst указанного пакета (см. Раздел 7.6, «Зачем нужны сценарии preinst, postinst, prerm и postrm?»). Она также обновляет файлы, перечисленные в conffiles . Обратите внимание, что в качестве аргумента для параметра configure указывается имя пакета (т. е. foo), а не имя файла-архива Debian (т. е. foo_VVV-RRR.deb).
  • Распаковать файл с именем «blurf» (или группу файлов с именем «blurf*») из архива Debian: dpkg —fsys-tarfile foo_VVV-RRR.deb | tar -xf — ‘blurf*’
  • Удалить пакет (но не его файлы настроек): dpkg —remove foo
  • Удалить пакет (вместе с файлами настроек): dpkg —purge foo
  • Вывести состояние установки пакетов, содержащих в имени строку (или регулярное выражение) «foo*»: dpkg —list ‘foo*’

8.1.2. APT

APT is the Advanced Package Tool , an advanced interface to the Debian packaging system which provides the apt-get program. It provides commandline tools for searching and managing packages, and for querying information about them, as well as low-level access to all features of the libapt-pkg library. For more information, see the User’s Guide in /usr/share/doc/apt-doc/guide.html/index.html (you will have to install the apt-doc package).

Starting with Debian Jessie, some frequently used apt-get and apt-cache commands have an equivalent via the new apt binary. This means some popular commands like apt-get update , apt-get install , apt-get remove , apt-cache search , or apt-cache show now can also be called simply via apt , say apt update , apt install , apt remove , apt search , or apt show . The following is an overview of the old and new commands:

apt-get update -> apt update apt-get upgrade -> apt upgrade apt-get dist-upgrade -> apt full-upgrade apt-get install package -> apt install package apt-get remove package -> apt remove package apt-get autoremove -> apt autoremove apt-cache search string -> apt search string apt-cache policy package -> apt list -a package apt-cache show package -> apt show package apt-cache showpkg package -> apt show -a package

Инструмент apt совмещает функциональность apt-get и apt-cache, а также по умолчанию использует красивый цветной формат вывода, что очень удобно. Для использования в сценариях или для продвинутого использования предпочтительнее использовать apt-get (а иногда он просто необходим).

apt-get provides a simple way to retrieve and install packages from multiple sources using the command line. Unlike dpkg , apt-get does not understand .deb files, it works with the packages proper name and can only install .deb archives from a source specified in /etc/apt/sources.list . apt-get will call dpkg directly after downloading the .deb archives [5] from the configured sources.

Часто используемые команды apt-get :

  • To update the list of packages known by your system, you can run:
apt update
apt install foo
apt remove foo
apt source имя_пакета

Как запустить ceni в debian

В данной статье мы рассмотрим, как настроить сеть в ОС Debian. Будет дана инструкция с описанием процедуры настройки.

1. Для начала нужно узнать свой IP ifconfig. Это можно сделать с помощью утилиты Net-tools. Для этого нужно выполнить команду:
apt install net-tools

Настройка сети в Debian

2. Далее небходимо отредактировать конфигурационный файл /etc/network/interfaces. Это можно сделать любым редактором, например Nano. Для этого необходимо выполнить команду:
nano /etc/network/interfaces

Конфигурация по умолчанию выглядит вот так:

Настройка сети в Debian

3. Для настройки статического адреса нобходимо поменять настройки интерфейса с dhcp на static и ниже куазать адрес, маску, шлюз и серверы имен.

Настройка сети в Debian

4. Для настройки нескольких адресов, необходимо добавить еще один интерфейс с тем же именем и дописать к нему номер. Далее так же указать данные адреса и маски.

Операционная система

DebConf23 Group Photo

Debian — это полноценная свободная операционная система!

Почему Debian

Что делает Debian таким особенным

Пользовательская поддержка

Получить помощь и документацию

Обновления безопасности

Анонсы безопасности Debian (DSA)

Больше.

Дополнительные ссылки на загрузку и ПО

Новости проекта

Новости и анонсы о Debian

07 Октября 2023
07 Октября 2023
18 Сентября 2023
14 Сентября 2023
10 Июня 2023
Эта страница также доступна на следующих языках:
Как установить язык по умолчанию

Для связи обратитесь к нашей странице контактов. Также доступен исходный код веб-сайта.

Последнее изменение: Вск, 24 Июл 2022, 21:14:58 UTC Последняя сборка: Чтв, 12 Окт 2023, 20:22:08 UTC
Авторские права © 1997-2023 SPI и другие; См. условия лицензии
Debian является зарегистрированным товарным знаком компании Software in the Public Interest, Inc. (Программное обеспечение в интересах общества)

Запуск графических приложений в Putty

Параметры putty

После этого после успешного соединения с сервером можно запускать графические приложения (если они установлены на сервере). Например можно запустить браузер Firefox. В результате запустится именно firefox c подключенного сервера.

Успешное соединение с сервером

На этом демонстрация запуска графических приложений в Putty окончена. В нашей базе знаний вы найдёте ещё множество статей посвящённых различным аспектам работы в Linux, а если вы ищете надежный виртуальный сервер под управлением Linux, обратите внимания на нашу услугу — Аренда виртуального сервера на базе Linux.

Последнее обновление: 21.04.2022

Средняя оценка: 5,0 , всего оценок: 1 Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

Где взять Debian

Debian свободно распространяется через Интернет. Вы можете загрузить всю систему с любого из наших зеркал. В руководстве по установке содержатся подробные инструкции по установке. Информацию о выпуске можно найти здесь.

Данная страница содержит варианты установки стабильного выпуска Debian. Если вам нужен тестируемый или нестабильный выпуски, обратитесь к странице выпусков.

Загрузка установочного образа

В зависимости от вашего соединения с Интернет, вы можете загрузить один из следующих образов:

  • Небольшой установочный образ: Эти маленькие образы могут быть быстро загружены, их следует записать на сменный диск. Чтобы использовать эти образы, необходимо подключение к Интернет на машине, на которой производится установка Debian.
    • iso-образы netinst для 64-битных ПК
    • iso-образы netinst для 32-битных ПК
    • торренты для 64-битного ПК (DVD)
    • торренты для 32-битного ПК (DVD)
    • торренты для 64-битного ПК (CD)
    • торренты для 32-битного ПК (CD)

    Используйте облачные образы Debian

    Официальный облачный образ, собранный облачной командой, может использоваться:

    • у вашего поставщика OpenStack в qcow2 или raw форматах.
      • 64-битный образ для AMD/Intel (qcow2, raw)
      • 64-битный образ для ARM (qcow2, raw)
      • 64-битный образ для Little Endian PowerPC (qcow2, raw)
      • Amazon Machine Images
      • AWS Marketplace
      • Debian 11 («Bullseye»)
      • Debian 10 («Buster»)

      Покупка CD или DVD у одного из поставщиков, продающих CD с Debian

      Многие поставщики продают дистрибутив менее, чем за 5 долларов плюс цена доставки (чтобы узнать, осуществляют ли они международную доставку, посмотрите их web-страницы).
      Также вместе с дисками могут поставляться некоторые из книг о Debian.

      У этих дисков есть несколько преимуществ:

      • Установка с набора CD проще.
      • Вы можете установить систему на машину без подключения к Интернет.
      • Вы можете установить Debian на любое число компьютеров без необходимости скачивать при каждой установке нужные вам пакеты.
      • Позднее CD можно использовать для более простого восстановления повреждённой системы Debian.

      Купить компьютер с предустановленным Debian

      Свои преимущества есть и у этого способа:

      • Вам не нужно устанавливать Debian.
      • Установленная система заранее сконфигурирована под оборудование.
      • Продавец может предоставлять техническую поддержку.

      Попробуйте Debian live до установки

      Вы можете попробовать Debian, загрузив live-систему с CD, DVD или USB-карты без установки файлов на компьютер. Когда вы будете готовы, можно будет запустить прилагаемый установщик (начиная с Debian 10 Buster, используется дружественный установщик Calamares). Среди предоставляемых образов можно выбрать подходящий по размеру, языку и включённым в него пакетам, что может быть очень удобно. Прочтите дополнительную информацию об этом методе установки, чтобы решить, подходит ли он вам.

      Назад на домашнюю страницу проекта Debian.

      Похожие публикации:

      1. Space что это
      2. Как зашифровать имя любимого
      3. Как открыть диск
      4. Почему гаррис мод вылетает

      Создание и настройка центра сертификации (ЦС) в Debian 10

      Создание и настройка центра сертификации (ЦС) в Debian 10

      Центр сертификации (ЦС) — это служба, отвечающая за выдачу цифровых сертификатов удостоверения личности в Интернете. Хотя публичные ЦС часто используются для подтверждения подлинности сайтов и других общедоступных служб, для закрытых групп и частных служб обычно используются частные ЦС.

      Создание частного ЦС позволит вам настраивать, тестировать и запускать программы, требующие шифрованного канала связи между клиентом и сервером. Частный ЦС позволяет выпускать сертификаты для пользователей, серверов или отдельных программ и служб в вашей инфраструктуре.

      Существует множество программ для Linux, использующих частные ЦС, в том числе OpenVPN и Puppet. Также вы можете настроить веб-сервер для использования сертификатов, выпущенных частным ЦС, с целью обеспечить соответствие сред разработки и тестирования и производственных сред, где используется служба TLS для шифрования соединений.

      Из этого руководства мы узнаем, как настроить частный Центр сертификации на сервере Debian 10, а также как сгенерировать и подписать сертификат тестирования, используя новый ЦС. Также вы научитесь импортировать публичный сертификат сервера ЦС в хранилище сертификатов операционной системы, чтобы проверять цепочку доверия между ЦС и удаленными серверами или пользователями. Кроме того, вы научитесь отзывать сертификаты и распространять Список отзыва сертификатов, чтобы службы на основе вашего ЦС могли использовать только уполномоченные пользователи и системы.

      Предварительные требования

      Для прохождения этого обучающего руководства вам потребуется доступ к серверу под управлением Debian 10 для хостинга службы OpenVPN. Перед началом прохождения руководства вам нужно будет настроить пользователя non-root user с привилегиями sudo . Вы можете выполнить указания нашего руководства по начальной настройке сервера Debian 10 для создания пользователя с надлежащими разрешениями. Настоящее обучающее руководство предусматривает использование брандмауэра, описание настройки которого приведено в доступном по ссылке руководстве.

      В настоящем обучающем руководстве мы будем называть его сервер ЦС.

      Сервер ЦС должен представлять собой отдельную систему. Она будет использоваться только для импорта, подписания и отзыва запросов сертификатов. На ней не должны работать никакие другие службы, и в идеале ее следует отключать от сети или полностью отключать в периоды, когда вы активно не работаете с ЦС.

      Примечание. Последний раздел этого обучающего руководства необязательный. Из него вы сможете узнать о подписании и отзыве сертификатов. Если вы решите выполнить эти практические шаги, вам потребуется второй сервер Debian 10. Также вы можете использовать собственный локальный компьютер Linux под управлением Debian, Ubuntu или их производных дистрибутивов.

      Шаг 1 — Установка Easy-RSA

      Первая задача этого обучающего руководства заключается в установке набора скриптов easy-rsa для запуска на сервере ЦС. Мы будем использовать инструмент управления ЦС easy-rsa для генерирования частного ключа и публичного корневого сертификата, с помощью которых вы будете подписывать запросы клиентов и серверов, использующих ваш ЦС.

      Войдите на сервер ЦС от имени пользователя non-root user с привилегиями sudo, созданного на начальном этапе установке, и запустите следующую команду:

      Вам будет предложено загрузить пакет и установить его. Нажмите y , чтобы подтвердить установку пакета.

      Теперь у вас есть все необходимое для настройки и использования Easy-RSA. На следующем шаге мы создадим инфраструктуру открытых ключей, а затем приступим к созданию Центра сертификации.

      Шаг 2 — Подготовка директории для инфраструктуры открытых ключей

      Мы установили easy-rsa и теперь займемся созданием каркаса инфраструктуры открытых ключей (PKI) на сервере ЦС. Убедитесь, что вы вошли в систему как пользователь non-root user, и создайте директорию easy-rsa . Не используйте sudo для запуска следующих команд, поскольку обычные пользователи должны иметь возможность управления и взаимодействия с ЦС без повышенного уровня прав.

      Будет создана новая директория easy-rsa в домашней папке. Мы используем эту директорию для создания символических ссылок, указывающих на файлы пакета easy-rsa , установленные на предыдущем шаге. Эти файлы находятся в папке /usr/share/easy-rsa на сервере ЦС.

      Создайте символические ссылки с помощью команды ln :

      Примечание. Хотя другие руководства могут предписывать скопировать файлы пакета easy-rsa в директорию PKI, в этом обучающем руководстве мы используем подход на основе символических ссылок. Таким образом, любые изменения пакета easy-rsa будут автоматически отражаться в ваших скриптах PKI.

      Чтобы ограничить доступ к созданной директории PKI, используйте команду chmod для предоставления доступа к ней только владельцу:

      Затем инициализируйте PKI в директории easy-rsa :

      Output
      init-pki complete; you may now create a CA or requests. Your newly created PKI dir is: /home/sammy/easy-rsa/pki

      После выполнения указаний этого раздела у нас будет директория, содержащая все необходимые файлы для создания Центра сертификации. На следующем шаге мы создадим закрытый ключ и публичный сертификат для ЦС.

      Шаг 3 — Создание Центра сертификации

      Прежде чем создавать закрытый ключ и сертификат ЦС, необходимо создать файл с именем vars и заполнить его значениями по умолчанию. Используйте команду cd для перехода в директорию easy-rsa , а затем создайте и отредактируйте файл vars с помощью nano или другого предпочитаемого текстового редактора:

      Открыв файл, вставьте следующие строки и измените каждое выделенное значение для отражения информации о вашей организации. При этом важно, чтобы ни одно значение не оставалось пустым:

      ~/easy-rsa/vars
      set_var EASYRSA_REQ_COUNTRY "US" set_var EASYRSA_REQ_PROVINCE "NewYork" set_var EASYRSA_REQ_CITY "New York City" set_var EASYRSA_REQ_ORG "DigitalOcean" set_var EASYRSA_REQ_EMAIL "admin@example.com" set_var EASYRSA_REQ_OU "Community"

      После завершения редактирования сохраните и закройте файл. Если вы используете nano , вы можете сделать это, нажав CTRL+X , а затем Y и ENTER для подтверждения. Теперь вы готовы к созданию ЦС.

      Для создания корневой пары открытого и закрытого ключей для Центра сертификации необходимо запустить команду ./easy-rsa еще раз, но уже с опцией build-ca :

      Вы увидите несколько строк с указанием версии OpenSSL, а затем вам будет предложено ввести фразу-пароль для пары ключей. Используйте надежную фразу-пароль и запишите ее в безопасном месте. Вам нужно будет вводить фразу-пароль каждый раз, когда вам потребуется взаимодействовать с ЦС, в частности при подписании или отзыве сертификата.

      Также вам будет предложено подтвердить обычное имя (CN) вашего ЦС. CN — это имя, которое будет использоваться для данного компьютера в контексте Центра сертификации. Вы можете использовать любую строку символов как обычное имя ЦС, но для простоты нажмите ENTER, чтобы использовать имя по умолчанию.

      Output
      . . . Enter New CA Key Passphrase: Re-Enter New CA Key Passphrase: . . . Common Name (eg: your user, host, or server name) [Easy-RSA CA]: CA creation complete and you may now import and sign cert requests. Your new CA certificate file for publishing is at: /home/sammy/easy-rsa/pki/ca.crt

      Примечание. Если вы не хотите вводить пароль при каждом взаимодействии с ЦС, вы можете запустить команду build-ca с опцией nopass :

      Теперь у нас имеется два важных файла, ~/easy-rsa/pki/ca.crt и ~/easy-rsa/pki/private/ca.key . Эти файлы соответствуют публичному и частному компонентам Центра сертификации.

      • ca.crt — файл публичного сертификата ЦС. Пользователи, серверы и клиенты будут использовать этот сертификат для подтверждения единой сети доверия. Копия этого файла должна иметься у всех пользователей и серверов, использующих ваш ЦС. Все стороны будут использовать публичный сертификат для подтверждения подлинности системы и предотвращения атак через посредника.
      • ca.key — закрытый ключ, который ЦС будет использовать для подписания сертификатов серверов и клиентов. Если злоумышленник получит доступ к ЦС и файлу ca.key , вам нужно будет уничтожить ЦС. Поэтому файл ca.key должен храниться только на компьютере ЦС, и для дополнительной безопасности компьютер ЦС следует выключать, когда он не используется для подписания запросов сертификатов.

      Мы установили ЦС и готовы использовать его для подписания запросов сертификатов и отзыва сертификатов.

      Шаг 4 — Распространение публичного сертификата Центра сертификации

      Мы настроили ЦС и можем использовать его в качестве корня доверия для любых систем, которые захотим настроить для этого. Сертификат ЦС можно добавлять на серверы OpenVPN, веб-серверы, почтовые серверы и т. д. Каждый пользователь или сервер, которому потребуется подтвердить подлинность другого пользователя или сервера в вашей сети, должен иметь копию файла ca.crt , импортированную в хранилище сертификатов операционной системы.

      Чтобы импортировать публичный сертификат ЦС во вторую систему Linux, например на сервер или локальный компьютер, нужно предварительно получить копию файла ca.crt с сервера ЦС. Вы можете использовать команду cat для ее вывода в терминал, а затем скопировать и вставить ее в файл на втором компьютере, который импортирует сертификат. Также вы можете использовать scp , rsync и другие подобные инструменты для передачи файла между системами. Мы используем для копирования и вставки текстовый редактор nano , поскольку этот вариант подойдет для всех систем.

      Запустите следующую команду на сервере ЦС от имени пользователя non-root user:

      На терминале появится примерно следующее:

      Output
      -----BEGIN CERTIFICATE----- MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQEL BQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw . . . . . . -----END CERTIFICATE-----

      Скопируйте все, включая строки ——BEGIN CERTIFICATE—— и ——END CERTIFICATE—— и символы дефиса.

      Используйте nano или предпочитаемый текстовый редактор на второй системе Linux, чтобы открыть файл с именем /tmp/ca.crt :

      Вставьте в редактор содержимое, скопированное вами из сервера ЦС. После завершения редактирования сохраните и закройте файл. Если вы используете nano , вы можете сделать это, нажав CTRL+X , а затем Y и ENTER для подтверждения.

      Теперь у нас имеется копия файла ca.crt на второй системе Linux, и мы можем импортировать сертификат в хранилище сертификатов операционной системы.

      В системах под управлением Debian и Ubuntu для импорта сертификата нужно использовать следующие команды:

      Debian and Ubuntu derived distributions

      Чтобы импортировать сертификат сервера ЦС в систему на базе CentOS, Fedora или RedHat, скопируйте и вставьте содержимое файла в файл /tmp/ca.crt , как описано в предыдущем примере. Затем скопируйте сертификат в директорию /etc/pki/ca-trust/source/anchors/ и запустите команду update-ca-trust .

      CentOS, Fedora, RedHat distributions

      Теперь вторая система Linux будет доверять любому сертификату, подписанному нашим сервером ЦС.

      Примечание. Если вы используете ЦС с веб-серверами и браузер Firefox, вам нужно будет импортировать публичный сертификат ca.crt в Firefox напрямую. Firefox не использует локальное хранилище сертификатов операционной системы. Подробную информацию о добавлении сертификата ЦС в Firefox можно найти в статье поддержки Mozilla Настройка Центров сертификации (ЦС) в Firefox.

      Если вы используете ЦС для интеграции со средой Windows или настольными компьютерами, ознакомьтесь с документацией по использованию certutil.exe для установки сертификата ЦС.

      Если вы используете это обучающее руководство для выполнения предварительных требований другого обучающего руководства или уже знакомы с процессом подписания и отзыва сертификатов, вы можете остановиться здесь. Если вы хотите узнать больше о подписании и отзыве сертификатов, в следующем необязательном разделе вы найдете подробное описание каждого из этих процессов.

      (Необязательно) — Создание запросов на подписание сертификатов и отзыв сертификатов

      Следующие разделы этого обучающего руководства являются необязательными. Если вы выполнили все предыдущие шаги, у вас имеется полностью настроенный и работающий Центр сертификации, который вы сможете использовать для выполнения других обучающих руководств. Вы можете импортировать файл ca.crt вашего ЦС и проверить сертификаты в вашей сети, которые были подписаны вашим ЦС.

      Если вы хотите потренироваться и узнать больше о том, как подписывать запросы сертификатов и отзывать сертификаты, из этих необязательных разделов вы сможете узнать больше о каждом из этих процессов.

      (Необязательно) — Создание и подписание образца запроса сертификата

      Мы настроили ЦС для использования и теперь можем попробовать сгенерировать закрытый ключ и запрос сертификата, чтобы познакомиться с процессом подписания и распространения.

      Запрос на подписание сертификата (CSR) состоит из трех частей, а именно открытого ключа, идентификационной информации запрашивающей системы и подписи запроса, создаваемой на основе закрытого ключа запрашивающей системы. Закрытый ключ остается секретным, и его можно будет использовать для шифрования информации, которую сможет расшифровать любой пользователь с подписанным открытым сертификатом.

      Следующие шаги будут выполняться на второй системе Linux с Debian, Ubuntu или одним из производных дистрибутивов. Это может быть другой удаленный сервер или локальная система Linux, например ноутбук или настольный компьютер. Поскольку по умолчанию easy-rsa доступна не на всех системах, мы используем инструмент openssl для создания тренировочного закрытого ключа и сертификата.

      openssl обычно устанавливается по умолчанию в большинстве дистрибутивов Linux, но для уверенности стоит запустить в системе следующую команду:

      Когда вам будет предложено установить openssl , введите y , чтобы продолжить выполнение установки. Теперь вы готовы создать тренировочный CSR с помощью openssl .

      В первую очередь для создания CSR необходимо сгенерировать закрытый ключ. Чтобы создать закрытый ключ с помощью openssl , создайте директорию practice-csr и сгенерируйте ключ в этой директории. Мы будем выполнять этот запрос на фиктивном сервере под названием sammy-server , в отличие от случая создания сертификата для идентификации пользователя или другого ЦС.

      Output
      Generating RSA private key, 2048 bit long modulus (2 primes) . . . . . . e is 65537 (0x010001)

      Теперь у нас имеется закрытый ключ, с помощью которого можно создать CSR, используя утилиту openssl . Вам будет предложено заполнить ряд полей, в том числе указать страну, область и город. Вы можете ввести . , если хотите оставить поле пустым, но для реальных CSR лучше использовать правильные значения при указании своего расположения и организации:

      Output
      . . . ----- Country Name (2 letter code) [XX]:US State or Province Name (full name) []:New York Locality Name (eg, city) [Default City]:New York City Organization Name (eg, company) [Default Company Ltd]:DigitalOcean Organizational Unit Name (eg, section) []:Community Common Name (eg, your name or your server's hostname) []:sammy-server Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

      Если вы хотите, чтобы эти значения добавлялись автоматически при вызове openssl , а не запрашивались через интерактивный диалог, вы можете передать аргумент -subj в OpenSSL. Обязательно измените выделенные значения для соответствия вашему расположению, организации и имени сервера:

      Чтобы проверить содержимое CSR, вы можете прочитать файл запроса с помощью команды openssl и проверить поля внутри него:

      Output
      subject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server

      Когда вас устроит тема запроса тренировочного сертификата, скопируйте файл sammy-server.req на сервер ЦС с помощью scp :

      На этом шаге вы сгенерировали запрос подписи сертификата для вымышленного сервера sammy-server . В реальной ситуации запрос может исходить от веб-сервера разработки, которому требуется сертификат TLS для тестирования, или от сервера OpenVPN, который запрашивает сертификат, чтобы пользователи могли подключиться к VPN. На следующем шаге мы перейдем к подписанию запроса на подписание сертификата с использованием закрытого ключа сервера ЦС.

      (Необязательно) — Подписание CSR

      На предыдущем шаге мы создали запрос тренировочного сертификата и ключ вымышленного сервера. Мы скопировали его в директорию /tmp на сервере ЦС, моделируя процесс, который мы бы использовали при отправке запросов CSR на подпись реальными клиентами или серверами.

      Продолжим рассматривать вымышленный сценарий. Теперь серверу ЦС необходимо импортировать тренировочный сертификат и подписать его. Когда ЦС подтвердит сертификат и отправит ответ серверу, клиенты, доверяющие Центру сертификации, смогут также доверять новому сертификату.

      Поскольку мы будем работать внутри инфраструктуры PKI в ЦС, где доступна утилита easy-rsa , мы будем использовать утилиту easy-rsa для большего удобства в отличие от использования openssl , как мы делали в предыдущем примере.

      Первым шагом для подписания вымышленного CSR будет импорт запроса сертификата с помощью скрипта easy-rsa :

      Output
      . . . The request has been successfully imported with a short name of: sammy-server You may now use this name to perform signing operations on this request.

      Теперь вы можете подписать запрос, запустив скрипт easyrsa с опцией sign-req , указав затем тип запроса и общее имя, включаемое в CSR. Запрос может иметь тип client , server или ca . Поскольку мы тренируемся с сертификатом для вымышленного сервера, нужно использовать тип запроса server :

      В результатах вам будет предложено подтвердить, что запрос поступил из надежного источника. Для подтверждения введите yes и нажмите ENTER :

      Output
      You are about to sign the following certificate. Please check over the details shown below for accuracy. Note that this request has not been cryptographically verified. Please be sure it came from a trusted source or that you have verified the request checksum with the sender. Request subject, to be signed as a server certificate for 3650 days: subject= commonName = sammy-server Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes . . . Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt

      Если вы зашифровали ключ ЦС, вам будет предложено ввести пароль.

      Выполнив эти шаги, мы подписали CSR sammy-server.req с помощью закрытого ключа сервера ЦС в директории /home/sammy/easy-rsa/pki/private/ca.key . Полученный файл sammy-server.crt содержит открытый ключ шифрования тренировочного сервера, а также новую подпись от сервера ЦС. Подпись сообщает всем, кто доверяет ЦС, что они также могут доверять сертификату sammy-server .

      Если бы это был запрос веб-сервера, сервера VPN или другого реального сервера, последним шагом на сервере ЦС стало бы распространение новых файлов sammy-server.crt и ca.crt с сервера ЦС на удаленный сервер, отправивший запрос CSR:

      На этом этапе выпущенный сертификат можно было бы использовать с веб-сервером, сервером VPN, инструментом управления конфигурацией, СУБД, системой аутентификации клиентов и т. п.

      (Необязательно) — Отзыв сертификата

      Иногда сертификат требуется отозвать, чтобы пользователь или сервер не могли его использовать. Например, это может потребоваться в случае кражи ноутбука, взлома веб-сервера, увольнения сотрудника, расторжения договора с подрядчиком и т. д.

      Далее кратко описана процедура отзыва сертификата:

      1. Для отзыва сертификата используется команда ./easyrsa revoke client_name .
      2. Сгенерируйте новый CRL с помощью команды ./easyrsa gen-crl .
      3. Переместите обновленный файл crl.pem на сервер или серверы, использующие ваш ЦС, а на этих системах скопируйте этот файл в директорию или директории программ, которые на него ссылаются.
      4. Перезапустите все службы, использующие ваш ЦС и файл CRL.

      С помощью этой процедуры вы можете отозвать любые сертификаты, которые ранее выпустили для вашего сервера. В следующих разделах мы подробно рассмотрим каждый шаг, начиная с команды revoke .

      Отзыв сертификата

      Для отзыва сертификата перейдите в директорию easy-rsa на вашем сервере ЦС:

      Затем запустите скрипт easyrsa с опцией revoke , указав имя клиента, у которого хотите отозвать сертификат: В соответствии с приведенным выше практическим примером, сертификат имеет обычное имя sammy-server :

      Система предложит вам подтвердить отзыв сертификата. Введите yes :

      Output
      Please confirm you wish to revoke the certificate with the following subject: subject= commonName = sammy-server Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes . . . Revoking Certificate 8348B3F146A765581946040D5C4D590A . . .

      Обратите внимание на выделенное значение в строке Revoking Certificate . Это значение представляет собой уникальный серийный номер отзываемого сертификата. Данное значение потребуется вам, если вы захотите просмотреть список отзыва и убедиться в наличии в нем сертификата, как описано в последнем шаге этого раздела.

      После подтверждения действия ЦС выполнит отзыв сертификата. Однако удаленные системы, использующие ЦС, не имеют возможности проверить отзыв сертификатов. Пользователи и серверы смогут использовать этот сертификат, пока список отзыва сертификатов ЦС (CRL) не будет распространен по всем системам, использующим данный ЦС.

      На следующем шаге мы сгенерируем CRL или обновим существующий файл crl.pem .

      Генерирование списка отзыва сертификатов

      Мы отозвали сертификат, и теперь нам нужно обновить список отозванных сертификатов на сервере ЦС. После получения обновленного списка отзыва вы сможете определить, какие пользователи и системы имеют действующие сертификаты в вашем ЦС.

      Чтобы сгенерировать CRL, запустите команду easy-rsa с опцией gen-crl , оставаясь в директории ~/easy-rsa :

      Если вы использовали фразу-пароль при создании файла ca.key , вам будет предложено ввести ее. Команда gen-crl сгенерирует файл с именем crl.pem , содержащий обновленный список отозванных сертификатов для этого ЦС.

      Далее вам нужно будет передавать обновленный файл crl.pem на все серверы и клиенты, использующие этот ЦС, при каждом запуске команды gen-crl . В противном случае клиенты и системы сохранят доступ к сервисам и системам, использующим ваш ЦС, так как данным сервисам нужно сообщить об отзыве сертификата.

      Передача списка отзыва сертификатов

      Мы сгенерировали список CRL на сервере ЦС, и теперь нам нужно передать его на удаленные системы, использующие ваш ЦС. Для передачи этого файла на ваши серверы можно использовать команду scp .

      Примечание. В этом обучающем руководстве описывается генерирование и распространение списка CRL вручную. Хотя существуют более надежные автоматические методы распространения и проверки списков отзыва (например OCSP-Stapling), настройка этих методов не входит в состав данного обучающего руководства.

      Войдите на сервер ЦС как пользователь non-root user и запустите следующую команду, указав IP-адрес или имя DNS вашего сервера вместо your_server_ip :

      Теперь файл передан на удаленную систему и нужно только отправить новую копию списка отзыва во все сервисы.

      Обновление сервисов, поддерживающих CRL

      Перечень необходимых шагов для обновления сервисов, использующих файл crl.pem , не входит в содержание этого обучающего руководства. Обычно требуется скопировать файл crl.pem в место, где сервис ожидает его найти, а затем перезапустить сервис с помощью systemctl .

      После обновления сервиса с указанием нового файла crl.pem этот сервис будет отклонять запросы подключения от клиентов и серверов, на которых используется отозванный сертификат.

      Изучение и проверка содержимого списка CRL

      Если вы хотите изучить содержимое файла CRL, в том числе с целью подтверждения списка отозванных сертификатов, выполните следующую команду openssl в директории easy-rsa на вашем сервере ЦС:

      Также вы можете запустить эту команду на любом сервере или на любой системе, где установлен инструмент openssl с копией файла crl.pem . Например, если вы перенесли файл crl.pem на вторую систему и хотите убедиться в отзыве сертификата sammy-server , вы можете использовать следующий синтаксис команды openssl , указав записанный при отзыве сертификата серийный номер вместо выделенного здесь:

      Output
      Serial Number: 8348B3F146A765581946040D5C4D590A Revocation Date: Apr 1 20:48:02 2020 GMT

      Обратите внимание на использование команды grep для проверки уникального серийного номера, записанного на шаге отзыва. Теперь вы можете подтвердить содержимое списка отзыва сертификатов на любой системе, использующей его для ограничения доступа к пользователям и сервисам.

      Заключение

      В этом обучающем руководстве мы создали частный Центр сертификации на отдельном сервере Debian 10 с помощью пакета Easy-RSA. Мы узнали, как работает модель доверия между сторонами, полагающимися на ЦС. Также мы создали и подписали запрос на подписание сертификата (CSR) для вымышленного сервера и научились отзывать сертификаты. Наконец, мы научились генерировать и распространять списки отзыва сертификатов (CRL) на любых системах, использующих наш ЦС, чтобы предотвратить доступ к сервисам пользователей и серверов, которым он не разрешен.

      Теперь вы можете выдавать сертификаты пользователям и использовать их в OpenVPN и других подобных сервисах. Также вы можете использовать свой ЦС для настройки веб-серверов разработки и тестирования с помощью сертификатов, чтобы защитить свои непроизводственные среды. Использование ЦС с сертификатами TLS во время разработки поможет обеспечить максимальное соответствие вашего кода и сред разработки и тестирования производственной среде.

      Если вам требуется дополнительная информация об использовании OpenSSL, вам будет полезно наше обучающее руководство Основы OpenSSL: работа с сертификатами SSL, закрытыми ключами и запросами CSR, который поможет вам лучше познакомиться с основами OpenSSL.

      Thanks for learning with the DigitalOcean Community. Check out our offerings for compute, storage, networking, and managed databases.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *