Применение XCA

Установка, настройка, общие принципы работы с XCA

Установка, базовая настройка, общие принципы работы с инструментом XCA описаны в соответствующей статье.

Импорт ключей и сертификатов в  XCA

Где искать ключи и сертификаты

При установке FreeIPA с помощью инструментов astra-freeipa-server или fly-admin-freeipa-server с использованием автоматической генерации ключей и сертификатов созданные файлы сохраняются в каталоге /etc/ssl/freeipa.

Перечень файлов:

Импорт ключей и сертификатов в XCA

1. Запустить XCA от имени суперпользователя (root);
2. Создать новую базу данных, если она не была создана ранее;
3. Последовательно импортировать нужные ключи и сертификаты:
   1. Закрытый ключ удостоверяющего центра /etc/ssl/freeipa/ca.key;
   2. Сертификат открытого ключа удостоверяющего центра /etc/ssl/freeipa/ca.crt;
   3. Закрытый ключ сервера FreeIPA /etc/ssl/freeipa/server.key;
   4. Сертификат открытого ключа сервера FreeIPA /etc/ssl/freeipa/server.crt;

Выпуск нового сертификата сервера FreeIPA

Для выпуска нового сертификата сервера FreeIPA проще всего воспользоваться уже импортированным сертификатом в качестве образца.

Для этого:

1. В инструменте XCA перейти в список сертификатов;
2. Нажать правой кнопкой мыши на ранее импортированный сертификат сервера FreeIPA;
3. Во всплывающем меню выбрать "Transform" - "Similar Certificate";

4. В появившейся форме с копией существующего сертификата внести нужные исправления (в частности, уточнить сроки начала и окончания действия сертификата);

   Информация
   Срок начала действия сертификата должен быть строго позже срока начала действия сертификата удостоверяющего центра. Рекомендуется прибавить несколько минут к сроку начала действия, полученному из автоматически созданного сертификата.

   
   

5. Сохранить новый сертификат, нажав кнопку "Да".

Экспорт нового сертификата

1. Выбрать нужный сертификат;
2. Нажать кнопку "Экспорт";
3. Выбрать имя файла для сохранения сертификата;
4. Выбрать формат экспорта "PEM (*.crt)";
5. Оставить пустой пароль, нажать кнопку "Да" для сохранения сертификата;

Импорт сертификата в FreeIPA

Импорт в базу сертификатов apache2

Через web-интерфейс FreeIPA

1. Скопировать сертификат в формате PEM в clipboard (например, открыв файл, в который экспортирован сертификат, с помощью текстового редактора kate);

   Информация
   В ОС ОН Astra Linux CE сертификат можно скопировать в clipboard непосредственно из XCA

   
   

2. Войти в web-интерфейс FreeIPA;
3. Перейти в "Профиль" - "Службы";
4. Выбрать нужную службу (например, "HTTP:/...";
5. Нажать кнопку "Добавить";
6. В открывшееся окно вставить копию сертификата;
7. Нажать кнопку "Добавить" для сохранения;

Из командной строки

В ситуации, когда web-интерфейс недоступен (например, по причине истёкшего срока действия сертификата), для импорта сертификата в FreeIPA можно использовать инструмент командной строки certutil.

1. Создать и экспортировать новый сертификат  из XCA в файл по процедурам, описанным выше;

2. Удалить старый сертификат из базы данных сертификатов /etc/apache2/nssdb командой (пример, для сервера с именем ipa.ipadomain.ru):

   Command
   sudo certutil -d /etc/apache2/nssdb -D -n ipa.ipadomain.ru

   
   

3. Добавить новый сертификат командой (пример для сертификата, находящегося в файле с именем certificate.crt):

   Command
   sudo certutil -d /etc/apache2/nssdb -A -t ,,, -n ipa.ipadomain.ru -i certificate.crt

   После параметра -t - пробел и три запятые.
   
   

4. Перезапустить сервисы FreeIPA командой

   Command
   sudo ipactl restart

   
   

Импорт в базу сертификатов службы каталогов (dirsrv)

База сертификатов службы каталогов находится в подкаталоге /etc/dirsrv/slapd-<ИМЯ_ОБЛАСТИ>. <ИМЯ_ОБЛАСТИ> записывается заглавными буквами с использованием тире вместо точек, в остальном действия аналогичны действиям для работы с базой сертификатов apache2. Например, для службы каталогов домена ipa.ipadomain.ru команды будут выглядеть так: