Zadanie 2020
Green Forest Bank zamierza uruchomić portal wewnętrzny dostępny dla pracowników
tylko z sieci wewnętrznej zawierający informacje o zatrudnieniu, rozliczenia urlopów
i inne dane związane z HR.
Dostęp do portalu będzie wymagał logowania, w obecnych czasach, połączenie
(wykonywane nawet w sieci lokalnej) powinno być chronione -- dostęp możliwy jedynie
po protokole HTTPS.
Nazwa domenowa portalu to: prac.gfb.intra.
Ponieważ zarząd banku zdecydował się na ograniczanie kosztów w tym zakresie, nie uzyskano
finansowania na zakup certyfikatów dla potrzeb serwisów w sieci lokalnej.
W takiej sytuacji należy przygotować następujące rozwiązanie.
1. Utworzyć Green Forest Bank CA o następujących parametrach:
Długość klucza RSA: 4096.
C = PL
ST = Mazowieckie
LN = Warszawa
ON = Green Forest Bank
OU = Green Forest Bank IT Department
CN = Green Forest Bank Certificate Authority (login)
"Login" widoczny wyżej, to nazwa użytkownika na students.
Termin ważności: 8 lat
Dla bezpieczeństwa klucz prywatny CA powinien być chroniony --
zaszyfrowany aes256.
Wystawić CSR z kluczem RSA 4096 bit uwzględniający nazwę domenową serwisu.
3. Na podstawie powyższego CSR wystawić certyfikat, wystawcą ma być
oczywiście Green Forest Bank CA. Termin ważności certyfikatu: 18 miesięcy.
4. Skonfigurować serwer nginx (z obsługą HTTPS przy pomocy wyżej wygenerowanego
certyfikatu). Serwer nginx powinien uruchamiać się jako proces
w kontenerze dockera. Należy utworzyć Dockerfile z opisem obrazu
opartego o Debiana 10, z konfiguracją dla HTTPS, wgrywaniem
certyfikatów, uruchamianiem procesu nginx, tak, aby dało się
wykonać polecenie docker run id_obrazu
Testowanie powinno więc sprowadzić się do następujących kroków:
docker build .
docker run id_obrazu
Następnie, konfigurację należy przetestować przeglądarką. Może być konieczne dopisanie
nazwy prac.gfb.intra do /etc/hosts, aby działało rozwiązywanie nazw.
Należy zaimportować certyfikat CA do przeglądarki, aby podpis
na certyfikacie serwera mógł być weryfikowany -- nie może się pojawiać
ostrzeżenie o nieznanym wydawcy lub złej nazwie domeny.