Содержание

Skip to end of metadata
Go to start of metadata

Дополнительная информация по работе  XCA содержится в статьях Управление ключами: XCA и Создание ключей для OpenVPN с помощью графического инструмента XCA.

Подготовка

Установить на сервере инструмент командной строки XCA:

apt install xca


Запустить инструмент с помощью графического меню

Пуск => "Утилиты" => "Цифровые сертификаты XCA"


и создать базу данных, в которой будут храниться сертификаты:

«Файл» => «Новая база данных» Выбрать место хранения базы=> Задать имя базы => «Сохранить» => При необходимости задать пароль для доступа к базе данных.

Создание корневого сертификата

В инструменте XCA

  • Перейти на вкладку «Сертификаты»;
    • Выбрать «Новый сертификат»;
  • Перейти на вкладку «Владелец»;
    • Выбрать «Создать новый ключ»:
      • В поле «Имя ключа» указать имя ключа, например rootKey 
      • Нажать «Создать»
    • Задать в соответствующих полях «Внутреннее имя», например«rootCA» и «commonName», например так же «rootCA»
  • Перейти на вкладку «Расширения»
    • Выбрать «Тип» «Центр Сертификации»
    • Определить срок действия сертификата: «Временной диапазон» => 10
  • Сохранить созданный сертификат: «Применить» => «Да»

Создание сертификата для сервера

  • Перейти на вкладку «Сертификаты»;
    • Выбрать «Новый сертификат»;
  • Перейти на вкладку «Источник»;
    • Для использования для подписания ранее созданного сертификата установить отметку «Use this Certificate for signing» => «rootCA»; 
  • Перейти на вкладку «Владелец»;
    • Выбрать «Создать новый ключ»;
      • В поле «Имя ключа» указать имя ключа, например serverKey;
      • Нажать «Создать»;
    • Задать в соответствующих полях «Внутреннее имя»  «FQDN сервера» или «FQDN реплики» и «commonName» так же «FQDN»;
  • Перейти во вкладку «Расширения»;
    • Выбрать «Тип» «Конечный пользователь»;
    • Определить срок действия сертификата: «Временной диапазон» => 5;
    • Заполнить поле "X509v3 Subject Alternative Name"  так же, как поля "Внутреннее имя" и "commonName" ;
  • Сохранить созданный сертификат«Применить» => «Да»;

Экспорт сертификата

  • Выбрать нужный сертификат сервера, далее «Экспорт» => «Формат экспорт» => PKCS12 chain => «Да»
  • Задать пароль на экспортируемый контейнер => «Да»

На предполагаемом сервере установить пакет astra-freeipa-server:

apt install astra-freeipa-server


Для того что бы провести инициализацию сервера с указанием нужного контейнера сертификата, нужно запустить команду «astra-freeipa-server» с дополнительными ключами -l <путь_к_контейнеру> и -lp <пароль_контейнера>, например:

# astra-freeipa-server -l /root/server.example.com.p12 -lp Password123


Посмотреть другие ключи команды astra-freeipa-server можно так:

# astra-freeipa-server --help