Справочный центр

Дерево страниц

Сравнение версий

Старая версия 7

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация

Исходная статья: Using 3rd part certificates for HTTP/LDAP

Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux
  • Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Введение

info

В статье описывается порядок действий по настройке использования сертификатов, выданных сторонними удостоверяющими центрами (УЦ), в частности, центрами Windows AD. Исходная статья: Using 3rd part certificates for HTTP/LDAP.

Сторонние сертификаты представляются двумя файлами: закрытым ключем и сертификатом этого ключа. Далее для примера используются:

  • mysite.key - закрытый ключ;
  • mysite.crt - сертификат закрытого ключа.

Для проверки предоставленной пары  "закрытый ключ+сертификат" требуется сертификат удостоверяющего центра (УЦ), создавшего эту пару. Для примера это будет файл  WinAd.cer (сертификат в кодировке Base-64), и этот сертификат должен быть установлен как доверенный сертификат УЦ. Порядок действий :изложен ниже.

Установка доверенного сертификата УЦ

Установка доверенного сертификата УЦ

(

- разовая операция для каждого нового УЦ, которая должна быть выполнена на каждом сервере (реплике)


FreeIPA. Для установки сертификата:

  1. Экспортировать сертификат УЦ Сертификат УЦ должен быть экспортирован в файл в кодировке Base-64. Для выполнения экспорта см. инструкции по эксплуатации используемого УЦ (например, для Windows AD: Exporting the Active Directory Certificate). Полученный файл должен быть скопирован ;
  2. Файл с экспортированным сертификатом скопировать на каждый сервер (сервер-реплику) FreeIPA;

  3. На каждом сервере FreeIPA зарегистрировать полученный сертификат УЦ.

    Примечание
    Если имеется несколько серверов-реплик, то регистрация доверенного сертификата должна быть выполнена на каждом из них.

    Регистрация должна выполняться суперпользователем, имеющим билет Kerberos администратора домена:

    1. Получить билет Kerberos администратора домена:

      Command
      sudo kinit admin


    2. Загрузить сертификат в базу сертификатов:

      Command
      sudo ipa-cacert-manage -p <пароль_администратора> -n <произвольный_псевдоним_сертификата> -t C,, install WinAd.cer


    3. Обновить списки сертификатов:

      Command
      sudo ipa-certupdate


Установка ключей и сертификатов

(выполняется

служб

Установка ключей и сертификатов служб выполняется на каждом сервере (реплике) для каждой новой пары ключ-сертификат, подписанной ранее зарегистрированным УЦ

)

. Установка сертификатов должна выполняться суперпользователем, имеющим билет Kerberos администратора домена:

  1. Получить билет Kerberos администратора домена:

    Command
    sudo kinit admin


  2. Установить пару ключ-сертификат:

    Command
    sudo ipa-server-certinstall -w -d mysite.key mysite.crt


  3. После установки сертификатов следует перезапустить службы:

    Command
    sudo systemctl restart apache2 dirsrv@<имя_области_Kerbros>.service

    например:

    Command
    sudo systemctl restart dirsrv@MY-REALMapache2 dirsrv@IPADOMAIN.RU.service