Данная статья применима к:
Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)
Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
См. также:
Центр сертификации DogTag использует Java, и без Java работать не может. По требованиям безопасности средства Java исключены из состава Astra Linux Special Edition. При выполнении описанной ниже процедуры средства Java будут установлены в Astra Linux Special Edition. Совместимость платформ Astra Linux Common Edition и Astra Linux Special Edition позволяет выполнить эту операцию, однако, выполняя эти действия, вы принимаете на себя ответственность за возможные последствия с точки зрения безопасности.
При выполнении приведённых ниже инструкций должны использоваться компьютеры с достаточным количеством аппаратных ресурсов (виртуальных аппаратных ресурсов):
- не менее трех процессоров
- не менее 2ГБ ОЗУ
Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.
Подключение репозиториев
Для установки центра сертификации DogTag необходимо подключить следующие репозитории:
- Основной репозиторий и актуальное обновление основного репозитория;
Базовый репозиторий;
Расширенный репозиторий. Для обновлений ниже БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) также подключить компонент расширенного репозитория astra-ce;
Если в используемом обновлении ОС пакеты, находящихся в основном/базовом и в расширенном репозиториях, имеют одинаковые версии, то репозиторий, из которого необходимо установить пакет, должен быть указан в списке репозиториев первым.
Подробнее про работу с репозиториями в Astra Linux Special Edition x.7 см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования.
Пример списка репозиториев в файле /etc/apt/sources.list (используются общедоступные Интернет-репозитории Astra Linux Special Edition x.7):
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free astra-ce
После внесения изменений в списки репозиториев обновить кеш пакетов:
Установка пакетов и инициализация сервера FreeIPA
Для новой установки (если пакеты FreeIPA ранее не устанавливались):
Установить пакеты:
sudo apt install astra-freeipa-server dogtag-pkiИнициализировать сервер используя ключ --dogtag:
sudo astra-freeipa-server --dogtag -d <имя_домена> -oдля инициализации реплики использовать команду astra-freeipa-replica также с ключем --dogtag;
- Если пакеты FreeIPA были установлены ранее:
Принудительно удалить установленные без использования компонента расширенного репозитория astra-ce пакеты python-pki (всегда устанавливается вместе с пакетами FreeIPA) и пакеты openjdk-11-jre и openjdk-11-jre-headless (могут быть установлены при установке некоторых пакетов):
sudo dpkg -r --force-depends python-pki openjdk-11-jre openjdk-11-jre-headlessВосстановить зависимости пакетов:
sudo apt -f install- Выполнить инициализацию центра сертификации:
Если сервер FreeIPA ранее не был инициализирован, то инициализация выполняется совместно с сервером так же, как для нового сервера:
sudo astra-freeipa-server --dogtag -d <имя_домена> -oдля инициализации реплики использовать команду astra-freeipa-replica также с ключем --dogtag;Если сервер (сервер-реплика) FreeIPA уже инициализирован, то инициализировать центр сертификации командами:
sudo ipa-ca-install
sudo ipa-kra-install
sudo ipa-server-upgrade