...
Выполните следующие действия:
1) Создайте каталог CA командой:
Блок кода |
---|
mkdir /etc/ssl/CA |
и перейдите в него. В этом каталоге будут размещаться сгенерированные ключи и сертификаты.
2) Создайте ключ и сертификат CA:
Блок кода |
---|
$ openssl genrsa -out cakey.pem 2048 |
...
$ openssl req -key cakey.pem -new -x509 -days 365 -out cacert.pem |
В диалоге заполните необходимую информацию о вашем центре сертификации. В Common name указать SMARTCARD.ALD.
3) Создайте ключ и сертификат KDC:
Блок кода |
---|
$ openssl genrsa -out kdckey.pem 2048 |
...
$ openssl req -new -out kdc.req -key kdckey.pem |
В диалоге заполните необходимую информацию о вашем сервере. В Common name указать kdc.
4) Установите переменные среды. Переменные среды устанавливаются в рамках сессии и не устанавливаются для других сессий и не сохраняются после закрытия сессии.
Блок кода |
---|
$ export REALM=SMARTCARD. |
...
ALD
$ export CLIENT=kdc |
5) Загрузите файл pkinit_extensions и сохраните в каталог в котором, Вы выполняете команды:
View file name pkinit_extensions height 150
...
Раскрыть | ||
---|---|---|
| ||
|
6) Выпустите сертификат KDC:
Блок кода |
---|
$ openssl x509 -req -in kdc.req -CAkey cakey.pem -CA cacert.pem -out kdc.pem -extfile pkinit_extensions -extensions kdc_cert -CAcreateserial -days 365 |
7) Файлы kdc.pem, kdckey.pem, cacert.pem перенесите в /var/lib/krb5kdc/
8) Создайте резервную копию файла /etc/krb5kdc/kdc.conf. Отредактируйте /etc/krb5kdc/kdc.conf, дополнив секцию [kdcdefaults] следующими записями:
Блок кода |
---|
pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem
pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem |
Первая запись задаёт ключи и сертификат сервера, а вторая указывает на корневой сертификат центра сертификации.
9. Для принятия изменений выполните:
Блок кода |
---|
/etc/init.d/krb5-admin-server restart
/etc/init.d/krb5-kdc restart |