Оглавление |
---|
Информация |
---|
Дополнительная информация по работе XCA содержится в статьях |
Информация | ||
---|---|---|
| ||
|
Предупреждение |
---|
Для обеспечения возможности восстановления работы в случае нештатных ситуаций необходимо после : После установки первого контроллера домена FreeIPA сохранить резервную копию каталога /etc/ssl/freeipa с корневым сертификатом созданного удостоверяющего центра. Кроме того, должно быть обеспечено сохранение резервных копий баз данных XCA. См., например, Архивирование и восстановление файлов с сохранением мандатных атрибутов. |
Исходные данные
- FreeIPA установлена без использования службы сертификатов DogTag;
- Имя домена: IPADOMAIN.RU;
- Имя основного сервера: SERVER.IPADOMAIN.RU;
- Имя сервера-реплики: REPLICA.IPADOMAIN.RU.
Для выпуска сертификатов в В качестве центра сертификации может использоваться любой компьютер, не обязательно находящийся в домене. Описанная процедура позволяет получить сертификаты, максимально близкие к сертификатам, которые выпускаются при использовании центра сертификации DogTag.
Подготовка
Установить на компьютере, который будет выполнять роль центра сертификации, инструмент командной строки XCA:
Command |
---|
sudo apt install xca |
Запустить инструмент XCA с помощью графического меню
Информация |
---|
Пуск => "Утилиты" => "Цифровые сертификаты XCA" |
При необходимости установить в XCA русский язык:
Информация |
---|
"File" => "Language" => "Russian" |
Создать базу данных, в которой будут храниться сертификаты:
Информация |
---|
«Файл» => «Новая база данных» Выбрать место хранения базы=> Задать имя базы => «Сохранить» => При необходимости задать пароль для доступа к базе данных. |
Создание корневого сертификата
В инструменте XCA
- Убедиться, что выбран пункт "Создать самозаверенный сертификат..." (или, в зависимости от версии, "Создать самоподписанный сертификат...");
- Выбрать "Шаблон для нового сертификата" "[Default] CA";
- Нажать кнопку "Применить всё";
- (рекомендуется) в поле "organizatioName" указать имя домена (IPADOMAIN.RU);
- (рекомендуется) в поле "commonName" указать имя "Certification authority";
- По необходимости заполнить остальные поля;
- Выбрать «Создать новый ключ»:
- В поле «Имя ключа» указать имя ключа, например CA
- Нажать «Создать»
- Убедиться, что выбран «Тип» «Центр Сертификации»;
- Отметить пункты "Critical", "Subject Key identifier", "Authority key Identifier"
- Определить срок действия сертификата: «Временной диапазон» => 10 (года)
- Отметить пункт "Critical", выбрать функции "Digital Signature", "Non repudation", "Certificate Sign", "CRL Sign";
Предполагается, что центр сертификации XCA установлен и настроен. Порядок установки и настройки см. в статье XCA: графический инструмент для работы с сертификатами и ключевыми носителями