Справочный центр

Дерево страниц

Сравнение версий

Старая версия 4

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

См. также:


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Информация
Данная статья актуальна в случаях, когда FreeIPA используется без центра сертификации DogTag (ситуации, типичная для использования FreeIPA в
ОС СН
Astra Linux
SE) Информация

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
    • ОС СН Ленинград 8.1
    Special Edition)



    Информация

    При использовании FreeIPA на любой версии ОС Astra Linux без возможности использования центра сертификации DogTag рекомендуется использовать для управления ключами  графический инструмент XCA.

    Порядок создания сертификатов описан в соответствующих статьях про этот инструмент.

    Далее в статье рассматривается ситуация, когда службы FreeIPA установлены с использованием автоматической генерации самоподписанных сертификатов (инструмент командной строки astra-freeipa-server или графический инструмент fly-admin-freeipa-server).
    Статья также применима в случаях установки с использованием сертификатов внешнего удостоверяющего центра.


    Применение XCA

    Установка, настройка, общие принципы работы с XCA

    Установка, базовая настройка, общие принципы работы с инструментом XCA описаны в соответствующей статьестатье XCA: графический инструмент для работы с сертификатами и ключевыми носителями.

    Импорт ключей и сертификатов в  XCA

    Где искать ключи и сертификаты

    Расположение ключей и сертификатов

    При установке FreeIPA с помощью инструментов astra-freeipa-server или fly-admin-freeipa-server с использованием автоматической генерации ключей и сертификатов созданные файлы сохраняются в каталоге /etc/ssl/freeipa.

    Перечень файлов:

    Имя файлаОписание
    ca.crtСертификат открытого ключа удостоверяющего центра в формате PEM

    ca.key

    		Закрытый ключ удостоверяющего центра

    ca.srl

    		Серийный номер последнего выпущенного сертификата

    server.crt

    		Сертификат открытого ключа сервера FreeIPA в формате PEM

    server.csr

    		Запрос на выпуск сертификата открытого ключа сервера FreeIPA

    server.key

    		Закрытый ключ сервера FreeIPA
    server.p12Сертификат открытого ключа сервера FreeIPA в формате PKCS#12

    Импорт ключей и сертификатов в XCA

    1. Запустить XCA от имени суперпользователя (root);.
    2. Создать новую базу данных, если она не была создана ранее;.
    3. Последовательно импортировать нужные ключи и сертификаты:
      1. Закрытый закрытый ключ удостоверяющего центра /etc/ssl/freeipa/ca.key;
      2. Сертификат сертификат открытого ключа удостоверяющего центра /etc/ssl/freeipa/ca.crt;
      3. Закрытый закрытый ключ сервера FreeIPA /etc/ssl/freeipa/server.key;
      4. Сертификат сертификат открытого ключа сервера FreeIPA /etc/ssl/freeipa/server.crt;.

    Выпуск нового сертификата сервера FreeIPA

    Для выпуска нового сертификата сервера FreeIPA проще всего воспользоваться уже импортированным сертификатом в качестве образца.

    Для этого:

    1. В инструменте XCA перейти в список сертификатов;.
    2. Нажать правой кнопкой мыши на ранее импортированный сертификат сервера FreeIPA;.
    3. Во всплывающем меню выбрать "Transform" - "Similar Certificate";.

    4. В появившейся форме с копией существующего сертификата внести нужные исправления (в частности, уточнить сроки начала и окончания действия сертификата);.

      Информация
      Срок начала действия сертификата должен быть строго позже срока начала действия сертификата удостоверяющего центра.
      Рекомендуется прибавить 30 несколько минут к сроку начала действия, полученному из автоматически созданного сертификата.


    5. Сохранить новый сертификат, нажав кнопку "Да".

    Экспорт нового сертификата

    1. Выбрать нужный сертификат;.
    2. Нажать кнопку "Экспорт";.
    3. Выбрать имя файла для сохранения сертификата;.
    4. Выбрать формат экспорта "PEM (*.crt)";.
    5. Оставить пустой пароль, нажать кнопку "Да" для сохранения сертификата;.

    Создание сертификата вручную из командной строки

    Создать новый сертификат можно с помощью инструментов командной строки, входящих в состав пакета OpenSSL.
    Для этого:

    Создать новый запрос на выпуск сертификата командой

    Command
    openssl req -new -key /etc/ssl/freeipa/server.key -nodes -out ipa.ipadomain.le.csr -subj "/CN=ipa.ipadomain.ru"

    Где:

    Импорт сертификата в FreeIPA

    Через WEB-интерфейс

    Импорт сертификата в FreeIPA

    Импорт в базу сертификатов apache2

    Через web-интерфейс FreeIPA

    1. Скопировать сертификат в формате PEM в clipboard (например, открыв файл, в который экспортирован сертификат, с помощью текстового редактора kate);

      Информация
      В ОС ОН Astra Linux CE сертификат можно скопировать в clipboard непосредственно из XCA


    2. Войти в WEBweb-интерфейс FreeIPA;.
    3. Перейти в "Профиль" - "Службы";.
    4. Выбрать нужную службу (например, "HTTP:/...";).
    5. Нажать кнопку "Добавить";.
    6. В открывшееся окно вставить копию сертификата;.
    7. Нажать кнопку "Добавить" для сохранения;.

    Из командной строки

    В ситуации, когда WEBweb-интерфейс недоступен (например, по причине истёкшего срока действия сертификата), для импорта сертификата в FreeIPA можно использовать инструмент командной строки certutil.

    1. Создать и экспортировать новый сертификат  из XCA в файл по процедурам, описанным выше;.

    2. Удалить старый сертификат из базы данных сертификатов /etc/apache2/nssdb командой (пример, для сервера с именем ipa.ipadomain.ru):

      Command
      sudo certutil -d /etc/apache2/nssdb -D -n ipa.ipadomain.ru


    3. Добавить новый сертификат командой (пример для сертификата, находящегося в файле с именем certificate.crt):

      Command
      sudo certutil -d /etc/apache2/nssdb -A -t ,, , -n ipa.ipadomain.ru -i certificate.crt

      После параметра -t - пробел и три две запятые.

    4. Перезапустить сервисы FreeIPA командой

      Command
      sudo ipactl restart


    Импорт в базу сертификатов службы каталогов (dirsrv)

    База сертификатов службы каталогов находится в подкаталоге /etc/dirsrv/slapd-<ИМЯ_ОБЛАСТИ>. <ИМЯ_ОБЛАСТИ> записывается заглавными буквами с использованием тире вместо точек, в остальном действия аналогичны действиям для работы с базой сертификатов apache2. Например, для службы каталогов домена ipa.ipadomain.ru команды будут выглядеть так:

    Command
    sudo certutil -d /etc/dirsrv/slapd-IPA-IPADOMAIN-RU -D -n ipa.ipadomain.ru
    sudo certutil -d /etc/dirsrv/slapd-IPA-IPADOMAIN-RU -A -t ,, -n ipa.ipadomain.ru -i certificate.crt