В статье описывается порядок действий по настройке использования сертификатов, выданных сторонними удостоверяющими центрами (УЦ), в частности, центрами Windows AD.
Сторонние сертификаты представляются двумя файлами: закрытым ключем и сертификатом этого ключа. Далее для примера используются:
- mysite.key - закрытый ключ;
- mysite.crt - сертификат закрытого ключа.
Для проверки предоставленной пары "закрытый ключ+сертификат" требуется сертификат удостоверяющего центра (УЦ), создавшего эту пару. Для примера это будет файл WinAd.cer (сертификат в кодировке Base-64), и этот сертификат должен быть установлен как доверенный сертификат УЦ.
Порядок действий:
Установка доверенного сертификата УЦ (разовая операция для каждого УЦ)
- Сертификат УЦ должен быть экспортирован в файл в кодировке Base-64. Для выполнения экспорта см. инструкции по эксплуатации используемого УЦ (например, для Windows AD: Exporting the Active Directory Certificate). Полученный файл должен быть скопирован на каждый сервер (сервер-реплику) FreeIPA;
На каждом сервере FreeIPA зарегистрировать полученный сертификат УЦ.
Если имеется несколько серверов-реплик, то регистрация должна быть выполнена на каждом из них.Регистрация должна выполняться суперпользователем, имеющим билет Kerberos администратора домена:
sudo kinit admin
sudo ipa-cacert-manage -p <пароль_администратора> -n <произвольный_псевдоним_сертификата> -t C,, install WinAd.cer
sudo ipa-certupdate
Установка сертификатов (выполняется для каждой пары ключ-сертификат, подписанной ранее зарегистрированным УЦ)
Установка сертификатов:
sudo kinit admin
sudo ipa-server-certinstall -w -d mysite.key mysite.crtПосле установки сертификатов следует перезапустить службы:
sudo systemctl restart apache2
sudo systemctl restart dirsrv@MY-REALM.service