Оглавление |
---|
Информация |
---|
Исходная статья: Using 3rd part certificates for HTTP/LDAP
|
- ОС ОН Орел
- ОС СН Смоленск
|
Введение
infoВ статье описывается порядок действий по настройке использования сертификатов, выданных сторонними удостоверяющими центрами (УЦ), в частности, центрами Windows AD. Исходная статья: Using 3rd part certificates for HTTP/LDAP.Сторонние сертификаты предствляются представляются двумя файлами, : закрытым ключем и сертификатом этого ключа, . Далее для примера этоиспользуются:
- mysite.key - закрытый ключ;
- mysite.crt - сертификат закрытого ключа.
Для проверки предоставленой пары файлов предоставленной пары "закрытый ключ+сертификат" требуется сертификат удостоверяющего центра (УЦ), создавшего эту пару "закрытый ключ+сертификат". Для примера это будет файл WinAd.cer (сертификат в кодировке Base-64), и этот сертификат должен быть установлен как доверенный сертификат УЦ. Порядок действий :изложен ниже.
Установка доверенного сертификата УЦ
Установка доверенного сертификата УЦ
(- разовая операция для каждого нового УЦ, которая должна быть выполнена на каждом сервере (реплике)
FreeIPA. Для установки сертификата:
- Экспортировать сертификат УЦ Сертификат УЦ должен быть экспортирован в файл в формате кодировке Base-64. Для выполнения экспорта см. инструкции по эксплуатации используемого УЦ . Полученный файл должен быть скопирован на сервер (например, для Windows AD: Exporting the Active Directory Certificate);
- Файл с экспортированным сертификатом скопировать на каждый сервер (сервер-реплику) FreeIPA;
На каждом сервере FreeIPA зарегистрировать полученный сертификат УЦ.
Примечание Если имеется несколько серверов-реплик, то регистрация доверенного сертификата должна быть выполнена на каждом из них. Регистрация должна выполняться суперпользователем, имеющим администраторский билет Kerberos администратора домена:
Получить билет Kerberos администратора домена:
Command sudo kinit admin Загрузить сертификат в базу сертификатов:
Command sudo ipa-cacert-manage -p <пароль_администратора> -n <произвольный_псевдоним_сертификата> -t C,, install WinAd.cer Обновить списки сертификатов:
Command sudo ipa-certupdate
Установка ключей и сертификатов
(выполняетсяслужб
Установка ключей и сертификатов служб выполняется на каждом сервере (реплике) для каждой новой пары ключ-сертификат, подписанной ранее зарегистрированным УЦ
). Установка сертификатов должна выполняться суперпользователем, имеющим билет Kerberos администратора домена:
Получить билет Kerberos администратора домена:
Command sudo kinit admin Установить пару ключ-сертификат:
Command sudo ipa-server-certinstall -w -d mysite.key mysite.crt После установки сертификатов следует перезапустить службы:
Command sudo systemctl restart apache2 dirsrv@<имя_области_Kerbros>.service например:
Command sudo systemctl restart dirsrv@MY-REALMapache2 dirsrv@IPADOMAIN.RU.service