Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)

  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

См. также:

Центр сертификации DogTag использует Java, и без Java работать не может. По требованиям безопасности средства Java исключены из состава Astra Linux Special Edition. При выполнении описанной ниже процедуры средства Java будут установлены в Astra Linux Special Edition. Совместимость платформ Astra Linux Common Edition и Astra Linux Special Edition позволяет выполнить эту операцию, однако, выполняя эти действия, вы принимаете на себя ответственность за возможные последствия с точки зрения безопасности.


При выполнении приведённых ниже инструкций должны использоваться компьютеры с достаточным количеством аппаратных ресурсов (виртуальных аппаратных ресурсов):

  • не менее трех процессоров
  • не менее 2ГБ ОЗУ

Недостаток ресурсов ведет к сложно диагностируемым случайным ошибкам.

Подключение репозиториев

Для установки центра сертификации DogTag необходимо подключить следующие репозитории:

  1. Основной репозиторий и актуальное обновление основного репозитория;
  2. Базовый репозиторий;

  3. Расширенный репозиторий. Для обновлений ниже БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) также подключить компонент расширенного репозитория astra-ce;

    Если в используемом обновлении ОС пакеты, находящихся в основном/базовом и в расширенном репозиториях, имеют одинаковые версии, то репозиторий, из которого необходимо установить пакет, должен быть указан в списке репозиториев первым.

Подробнее про работу с репозиториями в Astra Linux Special Edition x.7 см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования.

Пример списка репозиториев в файле /etc/apt/sources.list (используются общедоступные Интернет-репозитории Astra Linux Special Edition x.7):

deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/     1.7_x86-64 main contrib non-free
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-base/     1.7_x86-64 main contrib non-free
deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free astra-ce

После внесения изменений в списки репозиториев обновить кеш пакетов:

sudo apt update
После установки пакетов (описана ниже) ненужные репозитории можно удалить из списков.

Установка пакетов и инициализация сервера FreeIPA

  1. Для новой установки (если пакеты FreeIPA ранее не устанавливались):

    1. Установить пакеты:

      sudo apt install astra-freeipa-server dogtag-pki

    2. Инициализировать сервер используя ключ --dogtag:

      sudo astra-freeipa-server --dogtag -d <имя_домена> -o
      для инициализации реплики использовать команду astra-freeipa-replica также с ключем --dogtag;

  2. Если пакеты FreeIPA были установлены ранее:
    1. Принудительно удалить установленные без использования компонента расширенного репозитория astra-ce пакеты python-pki (всегда устанавливается вместе с пакетами FreeIPA) и пакеты openjdk-11-jre и openjdk-11-jre-headless (могут быть установлены при установке некоторых пакетов):

      sudo dpkg -r --force-depends python-pki openjdk-11-jre openjdk-11-jre-headless

    2. Восстановить зависимости пакетов:

      sudo apt -f install

    3. Выполнить инициализацию центра сертификации:
      1. Если сервер FreeIPA ранее не был инициализирован, то инициализация выполняется совместно с сервером так же, как для нового сервера:

        sudo astra-freeipa-server --dogtag -d <имя_домена> -o
        для инициализации реплики использовать команду astra-freeipa-replica также с ключем --dogtag;

      2. Если сервер (сервер-реплика) FreeIPA уже инициализирован, то инициализировать центр сертификации командами:

        sudo ipa-ca-install
        sudo ipa-kra-install
        sudo ipa-server-upgrade