Создание сертификата для сервера

• Перейти на вкладку «Сертификаты»и нажать кнопку «Новый сертификат»;
  • Для использования для подписания ранее созданного сертификата установить отметку «Use this Certificate for signing» => «rootCA»; 
  • Выбрать шаблон для нового сертификата "[Default] HTTPS_server"
  • Нажать кнопку "Применить всё"
• Перейти на вкладку «Субъект» («Владелец»);
  • (рекомендуется) в поле "organizatioName" указать имя домена (IPADOMAIN.RU);

  • В полях "commonName" и "Внутреннее имя" указать полное доменное имя сервера (строчными буквами) "server.ipadomain.ru", "replica.ipadomain.ru" и т.д.;

    Предупреждение
    Для того, чтобы сертификат был пригоден для работы с протоколом SSL имя, указанное в поле commonName, должно совпадать с DNS-именем сервера

    
    

  • Выбрать «Создать новый ключ»;
    • В поле «Имя ключа» указать имя ключа, например serverKey;
    • Нажать «Создать»;
  • По необходимости заполнить остальные поля;
• Перейти во вкладку «Расширения»;
  • Выбрать «Тип» «Конечный субъект» («Конечный пользователь»);
  • Отметить пункты "Critical", "Subject Key identifier", "Authority key Identifier"
  • Определить срок действия сертификата: «Временной диапазон» => 5;
  • В строке "X509v3 Subject Alternative Name" необходимо стереть значение по умолчанию (DNS:....) и оставить её пустой.
    Это значение будет задано далее с помощью текстового описания (вкладка "Дополнительно").
• Перейти на вкладку "Область применения ключа";
  • В левой части ("x509 v3 Key Usage") отметить пункты:
    • "Critical";
  • В левой части ("x509 v3 Key Usage") выбрать функции:
    • "Digital Signature";
    • "Non Repudiation";
    • "Key Encipherment";
    • "Data Encipherment";
    • "Key Agreement";
  • В правой части ("x509 v3 Extanded Key Usage") выбрать расширенные функции:
    • "TLS Web Server Authentication";
    • "KDC Authentication" (может также называться "Signing KDC response");
  • Дополнительно могут потребоваться следующие функции сертификата:
    • "OCSP Signing" - для службы протокола протокола OCSP;
    • "E-mail protection" - для ca-agent;
• Перейти во вкладку "Дополнительно" и нажать кнопку "Редактировать";
  • Удалить все записи в открывшемся окне;

  • Вставить в окно следующий текст, указав нужные имена домена и сервера (текст, который нужно заменить выделен красным):

    Информация

    issuerAltName=issuer:copy subjectAltName=otherName:1.3.6.1.5.2.2;SEQUENCE:kdc_princ_name,DNS:server.ipadomain.ru [kdc_princ_name] realm = EXP:0, GeneralString:IPADOMAIN.RU principal_name = EXP:1, SEQUENCE:kdc_principal_seq [kdc_principal_seq] name_type = EXP:0, INTEGER:1 name_string = EXP:1, SEQUENCE:kdc_principals [kdc_principals] princ1 = GeneralString:krbtgt princ2 = GeneralString:IPADOMAIN.RU@IPADOMAIN.RU

    
    

• Нажать кнопку "Проверить";
• Нажать кнопку "Да" для сохранения сертификата;
• Если при сохранении сертификата выдаётся сообщение "The certificate will be earlier valid than the signer. This is probably not what you want.", то нажать кнопку "Скорректировать дату и продолжить";

Импорт сертификата  (для включения сервера реплики)

1. Запускаем инструмент XCA на основном сервере (для удобства работы - лучше от имени суперпользователя).
2. Создаём, при необходимости, новую базу данных XCA.

3. Импортируем в XCA корневой сертификат, автоматически созданный при установке основного сервера FreeIPA:

   Информация
   /etc/ssl/freeipa/serverca.crt

   
   

4. Импортируем в XCA закрытый ключ корневого сертификата, автоматически созданный при установке основного сервера FreeIPA:

   Информация
   /etc/ssl/freeipa/serverca.key

   Если всё сделано правильно, то закрытый ключ автоматически привяжется к сертификату. Проверить это можно в свойствах сертификата:
   Image Removed
   
   
   

5. Импортировать в XCA сертификат и ключ сервера FreeIPA:

   Информация
   /etc/ssl/freeipa/caserver.crt /etc/ssl/freeipa/caserver.key

   Image Added

   В случае правильного выполнения операции импортированный сертификат автоматически привяжется к корневому сертификату:
   
   

   
   

   
   

   Информация

   Если импортировать существующий сертификат сервера то вместо "ручного" создания следующих сертификатов вручную можно просто копировать импортированный сертификат: Открыть список сертификатов Правой кнопкой мыши выбрать копируемый сертификат; В открывшемся меню выбрать "Преобразовать" -  "Похожий сертификат" ("Transform" - "Similar Certificate"); Далее следовать по шагам описанным в разделе "Создание сертификата для сервера"

   
   

Экспорт сертификата

• Выбрать нужный сертификат сервера, далее «Экспорт» => «Формат экспорт» => PKCS12 chain => «Да»
• Задать пароль на экспортируемый контейнер => «Да»

На предполагаемом сервере установить пакет astra-freeipa-server:

Для того что бы провести инициализацию сервера с указанием нужного контейнера сертификата, нужно запустить команду «astra-freeipa-server» с дополнительными ключами -l <путь_к_контейнеру> и -lp <пароль_контейнера>, например:

Посмотреть другие ключи команды astra-freeipa-server можно так:

Импорт корневого сертификата в

web-браузер

Для того, чтобы WEBweb-браузер признавал подлинность сертификатов, выписанных с помощью XCA, нужно импортировать в WEBweb-браузер корневой сертификат удостоверяющего центра XCA. Для этого:

1. В XCA экспортировать корневой сертификат в формате "PEM (*.crt)";

   Информация
   При автоматическом создании сертификатов корневой сертификат находится в файле /etc/ssl/freeipa/ca.crt

   
   

2. Скопировать полученный файл на целевой сервер;
3. В WEBweb-браузере (на примере WEBweb-браузера FireFox):
   1. Открыть панель настроек;
   2. Перейти в раздел "Приватность и защита";
   3. Перейти в раздел "Сертификаты" - "Просмотр сертификатов";
   4. В закладке "Центры сертификации" нажать кнопку "Имортировать";
   5. Выбрать нужный файл с сертификатом;
   6. Нажать кнопку "Открыть";
   7. Выбрать функцию "Доверять при идентификации пользователей электронной почтывеб-сайтов";
   8. Нажать "ОК";
   9. Перезапустить WEBweb-браузер.