Данная статья применима к:
- Операционная Система Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Операционная Система Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2
- Операционная Система Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- ОС ОН Орёл 2.12
При использовании FreeIPA на любой версии ОС Astra Linux без возможности использования центра сертификации DogTag рекомендуется использовать для управления ключами графический инструмент XCA.
Порядок создания сертификатов описан в соответствующих статьях про этот инструмент.
Далее в статье рассматривается ситуация, когда службы FreeIPA установлены с использованием автоматической генерации самоподписанных сертификатов (инструмент astra-freeipa-server или fly-admin-freeipa-server).
Статья также применима в случаях установки с использованием сертификатов внешнего удостоверяющего центра.
Применение XCA
Установка, настройка, общие принципы работы с XCA
Установка, базовая настройка, общие принципы работы с инструментом XCA описаны в соответствующей статье.
Импорт ключей и сертификатов в XCA
Где искать ключи и сертификаты
При установке FreeIPA с помощью инструментов astra-freeipa-server или fly-admin-freeipa-server с использованием автоматической генерации ключей и сертификатов созданные файлы сохраняются в каталоге /etc/ssl/freeipa.
Перечень файлов:
Имя файла | Описание |
---|---|
ca.crt | Сертификат открытого ключа удостоверяющего центра в формате PEM |
ca.key | Закрытый ключ удостоверяющего центра |
ca.srl | |
server.crt | Сертификат открытого ключа сервера FreeIPA в формате PEM |
server.csr | Запрос на выпуск сертификата открытого ключа сервера FreeIPA |
server.key | Закрытый ключ сервера FreeIPA |
server.p12 | Сертификат открытого ключа сервера FreeIPA в формате PKCS#12 |
Импорт ключей и сертификатов в XCA
- Запустить XCA от имени суперпользователя (root);
- Создать новую базу данных, если она не была создана ранее;
- Последовательно импортировать нужные ключи и сертификаты:
- Закрытый ключ удостоверяющего центра /etc/ssl/freeipa/ca.key;
- Сертификат открытого ключа удостоверяющего центра /etc/ssl/freeipa/ca.crt;
- Закрытый ключ сервера FreeIPA /etc/ssl/freeipa/server.key;
- Сертификат открытого ключа сервера FreeIPA /etc/ssl/freeipa/server.crt;
Выпуск нового сертификата сервера FreeIPA
Для выпуска нового сертификата сервера FreeIPA проще всего воспользоваться уже импортированным сертификатом в качестве образца.
Для этого:
- В инструменте XCA перейти в список сертификатов;
- Нажать правой кнопкой мыши на ранее импортированный сертификат сервера FreeIPA;
- Во всплывающем меню выбрать "Transform" - "Similar Certificate";
В появившейся форме с копией существующего сертификата внести нужные исправления (в частности, уточнить сроки начала и окончания действия сертификата);
Срок начала действия сертификата должен быть строго позже срока начала действия сертификата удостоверяющего центра.
Рекомендуется прибавить несколько минут к сроку начала действия, полученному из автоматически созданного сертификата.- Сохранить новый сертификат, нажав кнопку "Да".
Экспорт нового сертификата
- Выбрать нужный сертификат;
- Нажать кнопку "Экспорт";
- Выбрать имя файла для сохранения сертификата;
- Выбрать формат экспорта "PEM (*.crt)";
- Оставить пустой пароль, нажать кнопку "Да" для сохранения сертификата;
Импорт сертификата в FreeIPA
Импорт в базу сертификатов apache2
Через web-интерфейс FreeIPA
Скопировать сертификат в формате PEM в clipboard (например, открыв файл, в который экспортирован сертификат, с помощью текстового редактора kate);
В ОС ОН Astra Linux CE сертификат можно скопировать в clipboard непосредственно из XCA- Войти в web-интерфейс FreeIPA;
- Перейти в "Профиль" - "Службы";
- Выбрать нужную службу (например, "HTTP:/...";
- Нажать кнопку "Добавить";
- В открывшееся окно вставить копию сертификата;
- Нажать кнопку "Добавить" для сохранения;
Из командной строки
В ситуации, когда web-интерфейс недоступен (например, по причине истёкшего срока действия сертификата), для импорта сертификата в FreeIPA можно использовать инструмент командной строки certutil.
- Создать и экспортировать новый сертификат из XCA в файл по процедурам, описанным выше;
Удалить старый сертификат из базы данных сертификатов /etc/apache2/nssdb командой (пример, для сервера с именем ipa.ipadomain.ru):
sudo certutil -d /etc/apache2/nssdb -D -n ipa.ipadomain.ruДобавить новый сертификат командой (пример для сертификата, находящегося в файле с именем certificate.crt):
sudo certutil -d /etc/apache2/nssdb -A -t ,, -n ipa.ipadomain.ru -i certificate.crtПосле параметра -t - пробел и две запятые.Перезапустить сервисы FreeIPA командой
sudo ipactl restart
Импорт в базу сертификатов службы каталогов (dirsrv)
База сертификатов службы каталогов находится в подкаталоге /etc/dirsrv/slapd-<ИМЯ_ОБЛАСТИ>. <ИМЯ_ОБЛАСТИ> записывается заглавными буквами с использованием тире вместо точек, в остальном действия аналогичны действиям для работы с базой сертификатов apache2. Например, для службы каталогов домена ipa.ipadomain.ru команды будут выглядеть так:
sudo certutil -d /etc/dirsrv/slapd-IPA-IPADOMAIN-RU -A -t ,, -n ipa.ipadomain.ru -i certificate.crt