Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
- Astra Linux Special Edition РУСБ.10015-17
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1
- Astra Linux Special Edition РУСБ.10015-16 исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition 2.12
Введение
В статье описывается порядок действий по настройке использования сертификатов, выданных сторонними удостоверяющими центрами (УЦ), в частности, центрами Windows AD. Исходная статья: Using 3rd part certificates for HTTP/LDAP.Сторонние сертификаты представляются двумя файлами: закрытым ключем и сертификатом этого ключа. Далее для примера используются:
- mysite.key - закрытый ключ;
- mysite.crt - сертификат закрытого ключа.
Для проверки предоставленной пары "закрытый ключ+сертификат" требуется сертификат удостоверяющего центра (УЦ), создавшего эту пару. Для примера это будет файл WinAd.cer (сертификат в кодировке Base-64), и этот сертификат должен быть установлен как доверенный сертификат УЦ. Порядок действий изложен ниже.
Установка доверенного сертификата УЦ
Установка доверенного сертификата УЦ - разовая операция для каждого нового УЦ, которая должна быть выполнена на каждом сервере (реплике) FreeIPA. Для установки сертификата:
- Экспортировать сертификат УЦ в файл в кодировке Base-64. Для выполнения экспорта см. инструкции по эксплуатации используемого УЦ (например, для Windows AD: Exporting the Active Directory Certificate);
- Файл с экспортированным сертификатом скопировать на каждый сервер (сервер-реплику) FreeIPA;
На каждом сервере FreeIPA зарегистрировать полученный сертификат УЦ.
Если имеется несколько серверов-реплик, то регистрация доверенного сертификата должна быть выполнена на каждом из них.Регистрация должна выполняться суперпользователем, имеющим билет Kerberos администратора домена:
Получить билет Kerberos администратора домена:
sudo kinit adminЗагрузить сертификат в базу сертификатов:
sudo ipa-cacert-manage -p <пароль_администратора> -n <произвольный_псевдоним_сертификата> -t C,, install WinAd.cerОбновить списки сертификатов:
sudo ipa-certupdate
Установка ключей и сертификатов служб
Установка ключей и сертификатов служб выполняется на каждом сервере (реплике) для каждой новой пары ключ-сертификат, подписанной ранее зарегистрированным УЦ. Установка сертификатов должна выполняться суперпользователем, имеющим билет Kerberos администратора домена:
Получить билет Kerberos администратора домена:
sudo kinit adminУстановить пару ключ-сертификат:
sudo ipa-server-certinstall -w -d mysite.key mysite.crtПосле установки сертификатов перезапустить службы:
sudo systemctl restart apache2 dirsrv@<имя_области_Kerbros>.serviceнапример:sudo systemctl restart apache2 dirsrv@IPADOMAIN.RU.service