| Оглавление |
|---|
| Информация |
|---|
| Дополнительная информация по работе XCA содержится в статьях Управление ключами: XCA и Создание ключей для OpenVPN с помощью графического инструмента XCA. |
| Информация |
|---|
Данная статья применима к:
|
Подготовка
Установить на сервере инструмент командной строки XCA:
| Информация |
|---|
apt install xca |
Запустить инструмент с помощью графического меню
| Информация |
|---|
Пуск => "Утилиты" => "Цифровые сертификаты XCA" |
при необходимости установить русский язык:
| Информация |
|---|
| "File" => "Language" => "Russian" |
и создать базу данных, в которой будут храниться сертификаты:
| Информация |
|---|
«Файл» => «Новая база данных» Выбрать место хранения базы=> Задать имя базы => «Сохранить» => При необходимости задать пароль для доступа к базе данных. |
Создание корневого сертификата
В инструменте XCA
- Перейти на
...
- вкладку «Сертификаты»и выбрать «Новый сертификат»;
- Выбрать
...
- "Шаблон для нового сертификата" "[Default] CA";
- Нажать кнопку "Применить всё";
- Перейти на вкладку «Владелец»;
- В поле "commonName" указать имя сертификата (например, rootCA)
- Выбрать «Создать новый ключ»:
- В поле «Имя ключа» указать имя ключа, например rootKey
- Нажать «Создать»
...
- Перейти на вкладку «Расширения»
...
- Убедиться, что выбран «Тип» «Центр Сертификации»;
- Отметить пункты "Critical", "Subject Key identifier", "Authority key Identifier"
- Определить срок действия сертификата: «Временной диапазон» => 10
- Сохранить созданный сертификат: «Применить» => «Да»
Создание сертификата для сервера
- Перейти на вкладку
...
- «Сертификаты»и «Новый сертификат»
...
- ;
- Для использования для подписания ранее созданного сертификата установить отметку «Use this Certificate for signing» => «rootCA»;
- Выбрать шаблон для нового сертификата "[Default] HTTPS_server"
- Нажать кнопку "Применить всё"
- Перейти на вкладку «Владелец»;
- Выбрать «Создать новый ключ»;
- В поле «Имя ключа» указать имя ключа, например serverKey;
- Нажать «Создать»;
- Задать в соответствующих полях «Внутреннее имя» «FQDN сервера» или «FQDN реплики» и «commonName» так же «FQDN»;
- Выбрать «Создать новый ключ»;
- Перейти во вкладку «Расширения»;
- Выбрать «Тип» «Конечный пользователь»;
- Отметить пункты "Critical", "Subject Key identifier", "Authority key Identifier"
- Определить срок действия сертификата: «Временной диапазон» => 5;
- Заполнить поле "X509v3 Subject Alternative Name" так же, как поля "Внутреннее имя" и "commonName" ;
- Сохранить созданный сертификат«Применить» => «Да»;
Экспорт сертификата
- Выбрать нужный сертификат сервера, далее «Экспорт» => «Формат экспорт» => PKCS12 chain => «Да»
- Задать пароль на экспортируемый контейнер => «Да»
На предполагаемом сервере установить пакет astra-freeipa-server:
| Информация |
|---|
| apt install astra-freeipa-server |
Для того что бы провести инициализацию сервера с указанием нужного контейнера сертификата, нужно запустить команду «astra-freeipa-server» с дополнительными ключами -l <путь_к_контейнеру> и -lp <пароль_контейнера>, например:
| Информация |
|---|
| # astra-freeipa-server -l /root/server.example.com.p12 -lp Password123 |
Посмотреть другие ключи команды astra-freeipa-server можно так:
| Информация |
|---|
| # astra-freeipa-server --help |