Содержание

Skip to end of metadata
Go to start of metadata

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1

Введение

В данной статье рассматривается процедура настройки сервера-реплики FreeIPA с использованием для авторизации служб сервера-реплики сертификатов,
выпускаемых с помощью графического инструмента управления инфраструктурой открытых ключей XCA.

Предполагается, что

Описанная ниже процедура подключения сервера-реплики от обычных процедур отличается только операциями импорта и выпуска сертификатов с помощью инструмента XCA, а также их использования при включении реплики.

Процедура позволяет избежать использования штатной для FreeIPA службы сертификатов DogTag, требующей установки небезопасного ПО Java.

Недостатком процедуры является необходимость в дальнейшем ручного контроля сроков действия сертификатов и их обновления, 

Исходные данные

  • Имеется настроенный сервер FreeIPA:
    •  Установленный с помощью инструмента командной строки astra-free-ipa-server или графического инструмента fly-admin-freeipa-server с использованием автоматической генерации этими инструментами самоподписанных сертификатов
    • FQDN сервера FreeIPA ipa.ipadomain.ru, IP-адрес сервера 10.0.2.254
  • Имеется подготовленный сервер-реплика;
    • FQDN сервера-реплики replica.ipadomain.ru, IP-адрес сервера 10.0.2.253;
  • Центр управления инфраструктурой открытых ключей XCA размещается на основном сервере FreeIPA;

Создание сертификатов и включение реплики

  1. Запускаем инструмент XCA (для удобства работы - лучше от имени суперпользователя).
  2. Создаём, при необходимости, новую базу данных XCA.
  3. Импортируем в XCA корневой сертификат, автоматически созданный при установке основного сервера FreeIPA:

    /etc/ssl/freeipa/server.crt
  4. Импортируем в XCA закрытый ключ корневого сертификата, автоматически созданный при установке основного сервера FreeIPA:

    /etc/ssl/freeipa/server.key

    Если всё сделано правильно, то закрытый ключ автоматически привяжется к сертификату. Проверить это можно в свойствах сертификата:


  5. (необязательный шаг) Дополнительно, можно импортировать в XCA сертификат и ключ сервера FreeIPA:

    /etc/ssl/freeipa/ca.crt
    /etc/ssl/freeipa/ca.key

    В случае правильного выполнения операции импортированный сертификат автоматически привяжется к корневому сертификату:



  6. Следующим шагом нужно создать новый сертификат и ключ для сервера-реплики:
    нажать кнопку "Новый сертификат";
    на вкладке "Источник" выбрать пункт "Use this certificate for signing", и убедиться, что в качестве подписывающего выбран ранее импортированный подписывающий сертификат сервера FreeIPA:



    на вкладке "Владелец" указать FQDN сервера-реплики в полях "Внутреннее имя" и "CommonName" и нажать кнопку "Создать новый ключ":



    дополнительно указать иные необходимые реквизиты сертификата (указать, что это конечный сертификат, указать срок действия и пр.).

    В данном примере выпускается один сертификат, который в дальнейшем используется для всех служб.
    При необходимости, по указанной процедуре можно выпустить отдельные сертификаты для каждой службы.
  7. Созданный сертификат (сертификаты) для сервера-реплики экспортировать файл (файлы) в формате "PKCS #12 chain (*.p12)" (не путать с форматом экспорта "PKCS #12 (*.p12)", это разные форматы"). При экспорте указать пароль для защитного преобразования экспортируемых данных.

  8. Полученный в результате экспорта файл переписать на сервер-реплику, например, в файл relplica.p12.

  9.  Подготовить основной сервер FreeIPA в соответствии с инструкциями: настроить реверсивные зоны и реверсивные записи.

  10. Настроить сервер-реплику в соответствии с инструкциями, в том числе установить пакеты astra-freeipa-server и astra-freeipa-client:

    apt install astra-freeipa-server astra-freeipa-client

  11. Включить реплику командой ipa-replica-install, с помощью опций команды --dirsrv-cert-file, --http-cert-file, --pkinit-cert-file указав созданные файлы сертификатов, например (опции команды зависят от конкретных требований к установке):

    ipa-replica-install --dirsrv-cert-file=replica.p12 --dirsrv-pin=Пароль --http-cert-file=replica.p12 --http-pin=Пароль --pkinit-cert-file=replica.p12 --pkinit-pin=Пароль --setup-dns --no-forwarders --no-reverse
    где replica.p12 - файл сертификата, а Пароль - пароль к этому файлу.

  12. При выполнении указанной процедуры на ОС СН Смоленск не забудьте указать в файле /etc/apache2/apache2.conf опцию AstraMode off и перезапустить apache2.

Процедура проверки успешности включения репликации описана в основной статье про репликацию.