Оглавление |
---|
См. также:
- XCA: графический инструмент для работы с сертификатами и ключевыми носителями
- Создание сертификатов для FreeIPA с помощью XCA без использования DogTag
- Создание сертификатов для OpenVPN с помощью графического инструмента XCA
- astra-freeipa-server-crt - инструмент для создания и обновления сертификатов FreeIPA
Информация | ||
---|---|---|
| ||
|
Информация |
---|
Данная статья актуальна в случаях, когда FreeIPA используется без центра сертификации DogTag (ситуации, типичная для использования FreeIPA в |
Astra Linux |
Special Edition) |
Информация |
---|
Данная статья применима к:
- ОС ОН Орёл 2.12
- ОС СН Смоленск 1.6
- ОС СН Ленинград 8.1
Информация |
---|
При использовании FreeIPA на любой версии ОС Astra Linux без возможности использования центра сертификации DogTag рекомендуется использовать для управления ключами графический инструмент XCA. Порядок создания сертификатов описан в соответствующих статьях про этот инструмент. Далее в статье рассматривается ситуация, когда службы FreeIPA установлены с использованием автоматической генерации самоподписанных сертификатов (инструмент командной строки astra-freeipa-server или графический инструмент fly-admin-freeipa-server). |
Применение XCA
Установка, настройка, общие принципы работы с XCA
Установка, базовая настройка, общие принципы работы с инструментом XCA описаны в соответствующей статьестатье XCA: графический инструмент для работы с сертификатами и ключевыми носителями.
Импорт ключей и сертификатов в XCA
Где искать ключи и сертификатыРасположение ключей и сертификатов
При установке FreeIPA с помощью инструментов astra-freeipa-server или fly-admin-freeipa-server с использованием автоматической генерации ключей и сертификатов созданные файлы сохраняются в каталоге /etc/ssl/freeipa
.
Перечень файлов:
Имя файла | Описание |
---|---|
ca.crt | Сертификат открытого ключа удостоверяющего центра в формате PEM |
ca.key | Закрытый ключ удостоверяющего центра |
ca.srl | Серийный номер последнего выпущенного сертификата |
server.crt | Сертификат открытого ключа сервера FreeIPA в формате PEM |
server.csr | Запрос на выпуск сертификата открытого ключа сервера FreeIPA |
server.key | Закрытый ключ сервера FreeIPA |
server.p12 | Сертификат открытого ключа сервера FreeIPA в формате PKCS#12 |
Импорт ключей и сертификатов в XCA
- Запустить XCA от имени суперпользователя (root);.
- Создать новую базу данных, если она не была создана ранее;.
- Последовательно импортировать нужные ключи и сертификаты:
- Закрытый закрытый ключ удостоверяющего центра
/etc/ssl/freeipa/ca.key
; - Сертификат сертификат открытого ключа удостоверяющего центра
/etc/ssl/freeipa/ca.crt
; - Закрытый закрытый ключ сервера FreeIPA
/etc/ssl/freeipa/server.key
; - Сертификат сертификат открытого ключа сервера FreeIPA
/etc/ssl/freeipa/server.crt
;.
- Закрытый закрытый ключ удостоверяющего центра
Выпуск нового сертификата сервера FreeIPA
Для выпуска нового сертификата сервера FreeIPA проще всего воспользоваться уже импортированным сертификатом в качестве образца.
Для этого:
- В инструменте XCA перейти в список сертификатов;.
- Нажать правой кнопкой мыши на ранее импортированный сертификат сервера FreeIPA;.
- Во всплывающем меню выбрать "Transform" - "Similar Certificate";.
В появившейся форме с копией существующего сертификата внести нужные исправления (в частности, уточнить сроки начала и окончания действия сертификата);.
Информация Срок начала действия сертификата должен быть строго позже срока начала действия сертификата удостоверяющего центра.
Рекомендуется прибавить несколько минут к сроку начала действия, полученному из автоматически созданного сертификата.- Сохранить новый сертификат, нажав кнопку "Да".
Экспорт нового сертификата
- Выбрать нужный сертификат;.
- Нажать кнопку "Экспорт";.
- Выбрать имя файла для сохранения сертификата;.
- Выбрать формат экспорта "PEM (*.crt)";.
- Оставить пустой пароль, нажать кнопку "Да" для сохранения сертификата;
- сертификата
Создать новый сертификат можно с помощью инструментов командной строки, входящих в состав пакета OpenSSL.
Для этого:
1. Создать новый запрос на выпуск сертификата командой
Command |
---|
openssl req -new -key /etc/ssl/freeipa/server.key -out ipa.ipadomain.ru.csr -subj "/CN=ipa.ipadomain.ru" |
Описание параметров команды:
В примере это закрытый ключ сервера в файле /etc/ssl/freeipa/server.key, автоматически созданный инструментом astra-freeipa-server при инициализации сервера FreeIPA.
В примере это файл ipa.ipadomain.ru.csr
В примере используется имя ipa.ipadomain.ru
- .
Импорт сертификата в FreeIPA
Импорт в базу сертификатов apache2
Через web-интерфейс FreeIPA
2. Подписать созданный запрос на выпуск сертификата командой
Command |
---|
openssl x509 -req -in ipa.ipadomain.ru.csr -CA /etc/ssl/freeipa/ca.crt -CAkey /etc/ssl/freeipa/ca.key -out ipa.ipadomain.ru.crt -days 3650 |
Описание параметров команды:
В примере это ранее созданный файл ipa.ipadomain.ru.csr.
В примере это сертификат удостоверяющего центра в файле /etc/ssl/freeipa/ca.crt, автоматически созданный инструментом astra-freeipa-server при инициализации сервера FreeIPA.
В примере это закрытый корневой ключ удостоверяющего центра в файле /etc/ssl/freeipa/ca.key, автоматически созданный инструментом astra-freeipa-server при инициализации сервера FreeIPA.
В примере это ipa.ipadomain.ru.crt
В примере - 3650 дней, т.е. примерно 10 лет.
Импорт сертификата в FreeIPA
Через WEB-интерфейсСкопировать сертификат в формате PEM в clipboard (например, открыв файл, в который экспортирован сертификат, с помощью текстового редактора kate);
Информация В ОС ОН Astra Linux CE сертификат можно скопировать в clipboard непосредственно из XCA - Войти в WEBweb-интерфейс FreeIPA;.
- Перейти в "Профиль" - "Службы";.
- Выбрать нужную службу (например, "HTTP:/...";).
- Нажать кнопку "Добавить";.
- В открывшееся окно вставить копию сертификата;.
- Нажать кнопку "Добавить" для сохранения;.
Из командной строки
В ситуации, когда WEBweb-интерфейс недоступен (например, по причине истёкшего срока действия сертификата), для импорта сертификата в FreeIPA можно использовать инструмент командной строки certutil.
- Создать и экспортировать новый сертификат из XCA в файл по процедурам, описанным выше;.
Удалить старый сертификат из базы данных сертификатов
/etc/apache2/nssdb
командой (пример, для сервера с именем ipa.ipadomain.ru):Command sudo certutil -d /etc/apache2/nssdb -D -n ipa.ipadomain.ru Добавить новый сертификат командой (пример для сертификата, находящегося в файле с именем certificate.crt):
Command sudo certutil -d /etc/apache2/nssdb -A -t , ,, -n ipa.ipadomain.ru -i certificate.crt После параметра -t - пробел и три две запятые.
Перезапустить сервисы FreeIPA командой
Command sudo ipactl restart
Импорт в базу сертификатов службы каталогов (dirsrv)
База сертификатов службы каталогов находится в подкаталоге /etc/dirsrv/slapd-<ИМЯ_ОБЛАСТИ>
. <ИМЯ_ОБЛАСТИ>
записывается заглавными буквами с использованием тире вместо точек, в остальном действия аналогичны действиям для работы с базой сертификатов apache2. Например, для службы каталогов домена ipa.ipadomain.ru команды будут выглядеть так:
Command |
---|
sudo certutil -d /etc/dirsrv/slapd-IPA-IPADOMAIN-RU -D -n ipa.ipadomain.ru sudo certutil -d /etc/dirsrv/slapd-IPA-IPADOMAIN-RU -A -t ,, -n ipa.ipadomain.ru -i certificate.crt |