Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

с подключенным компонентом astra-ce расширенного (extended) репозитория

Аннотация

В данной статье представлена инструкция по установке серверов и реплик контроллера домена FreeIPA в связке с центром сертификации DogTag. Для успешного запуска центра сертификации DogTag требуется установка OpenJDK из компонента astra-ce расширенного репозитория Astra Linux Special Edition x.7. Отдельно про установку OpenJDK см. Расширенный репозиторий Astra Linux Special Edition x.7: установка и развертывание OpenJDK.

Внимание!

Программное обеспечение расширенного репозитория является сторонним по отношению к Astra Linux, не дорабатывается с точки зрения выполнения требований по безопасности информации и не проверяется при сертификации.
Подробнее см. Использование стороннего программного обеспечения в аттестованных информационных системах, функционирующих под управлением Astra Linux Special Edition.

При использовании программного обеспечения расширенного репозитория рекомендуется для дополнительной изоляции процессов осуществлять их запуск в изолированной программной среде (контейнере). При использовании для этих целей Docker-контейнеров их запуск целесообразно осуществлять от имени непривилегированного пользователя в rootless-режиме, а при включенном мандатном контроле целостности (МКЦ) с применением технологии запуска контейнеров на пониженном или выделенном уровне МКЦ. Подробнее см. Руководство по КСЗ в составе эксплуатационной документации используемого обновления.


Установка FreeIPA в связке с центром сертификации DogTag должна выполняться из компонента astra-ce расширенного репозитория.
Подробнее про структуру и использование репозиториев см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования.

Что такое DogTag

Общая информация

Центр сертификации DogTag представляет собой систему управления сертификатами корпоративного класса, обеспечивающую управление полным жизненным циклов сертификатов. Под термином "сертификат" подразумевается сертификат публичного (открытого) ключа, использующий цифровую подпись центра сертификации для аутентификации (удостоверяющий сертификат). Сертификаты являются текстовыми файлами и могут содержать такую информацию, как имена лиц или названия организаций, адреса и т.д. Сертификаты используются для того, чтобы удостовериться в принадлежности открытого ключа субъекту. Центр сертификации DogTag интегрирован со службами FreeIPA, и поддерживает следующие возможности работы с сертификатами:

  • Выпуск сертификатов;
  • Выдачу (публикацию) сертификатов;
  • Отзыв сертификатов;
  • Создание и публикацию списков отзыва сертификатов;
  • Профили сертификатов;
  • Протокол публикации сертификатов Simple Certificate Enrollment Protocol (SCEP);
  • Создание локального удостоверяющего центра (Registration Authority,LRA) организации аутентификации и управлениям политиками;
  • Сохранение и восстановление закрытых ключей;
  • Управление токенами:
    • Профили токенов;
    • Выдачу, блокировку, восстановление и очистку токенов;
    • Запись токенов;

При работе с Контроллер ЕПП FreeIPA в Astra Linux в автоматическом режиме обеспечивается выпуск и обновление сертификатов серверов FreeIPA.

Оригинальная документация DogTag

Оригинальная документация DogTag доступна по ссылке: https://github.com/dogtagpki/pki/wiki.

Установка пакетов

  1. Подключить репозитории:
    • основной репозиторий и актуальное оперативное обновление основного репозитория
    • для обновлений, выпущенных до Astra Linux Special Edition 1.8 — актуальное оперативное обновление базового репозитория;
    • актуальное оперативное обновление расширенного репозитория, включая компонент astra-ce

  2. Обновить кеш пакетов:

    sudo apt update

  3. Опционально: установить актуальное обновление:

    sudo apt dist-upgrade

  4. Установить пакеты

    1. Для установки первичного сервер FreeIPA:

      sudo apt install astra-freeipa-server dogtag-pki

    2. Для установки серверов-реплик FreeIPA:

      sudo apt install astra-freeipa-server astra-freeipa-client dogtag-pki

  5. Дальнейшую настройку выполнять в соответствии с инструкциями Контроллер ЕПП FreeIPA в Astra Linux (варианты установки с центром сертификации DogTag).

Для подключения центра сертификации к ранее установленному серверу (реплике) FreeIPA см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6