Содержание

Skip to end of metadata
Go to start of metadata

Данная статья актуальна в случаях, когда FreeIPA используется без центра сертификации DogTag (ситуации, типичная для использования FreeIPA в ОС СН Astra Linux SE)

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1

При использовании FreeIPA на любой версии ОС Astra Linux без возможности использования центра сертификации DogTag рекомендуется использовать для управления ключами  графический инструмент XCA.

Порядок создания сертификатов описан в соответствующих статьях про этот инструмент.

Далее в статье рассматривается ситуация, когда службы FreeIPA установлены с использованием автоматической генерации самоподписанных сертификатов (инструмент astra-freeipa-server или fly-admin-freeipa-server).
Статья также применима в случаях установки с использованием сертификатов внешнего удостоверяющего центра.

Применение XCA

Установка, настройка, общие принципы работы с XCA

Установка, базовая настройка, общие принципы работы с инструментом XCA описаны в соответствующей статье.

Импорт ключей и сертификатов в  XCA

Где искать ключи и сертификаты

При установке FreeIPA с помощью инструментов astra-freeipa-server или fly-admin-freeipa-server с использованием автоматической генерации ключей и сертификатов созданные файлы сохраняются в каталоге /etc/ssl/freeipa.

Перечень файлов:

Имя файлаОписание
ca.crtСертификат открытого ключа удостоверяющего центра в формате PEM

ca.key

Закрытый ключ удостоверяющего центра

ca.srl


server.crt

Сертификат открытого ключа сервера FreeIPA в формате PEM

server.csr

Запрос на выпуск сертификата открытого ключа сервера FreeIPA

server.key

Закрытый ключ сервера FreeIPA
server.p12Сертификат открытого ключа сервера FreeIPA в формате PKCS#12

Импорт ключей и сертификатов в XCA

  1. Запустить XCA от имени суперпользователя (root);
  2. Создать новую базу данных, если она не была создана ранее;
  3. Последовательно импортировать нужные ключи и сертификаты:
    1. Закрытый ключ удостоверяющего центра /etc/ssl/freeipa/ca.key;
    2. Сертификат открытого ключа удостоверяющего центра /etc/ssl/freeipa/ca.crt;
    3. Закрытый ключ сервера FreeIPA /etc/ssl/freeipa/server.key;
    4. Сертификат открытого ключа сервера FreeIPA /etc/ssl/freeipa/server.crt;

Выпуск нового сертификата сервера FreeIPA

Для выпуска нового сертификата сервера FreeIPA проще всего воспользоваться уже импортированным сертификатом в качестве образца.

Для этого:

  1. В инструменте XCA перейти в список сертификатов;
  2. Нажать правой кнопкой мыши на ранее импортированный сертификат сервера FreeIPA;
  3. Во всплывающем меню выбрать "Transform" - "Similar Certificate";
  4. В появившейся форме с копией существующего сертификата внести нужные исправления (в частности, уточнить сроки начала и окончания действия сертификата);

    Срок начала действия сертификата должен быть строго позже срока начала действия сертификата удостоверяющего центра.
    Рекомендуется прибавить несколько минут к сроку начала действия, полученному из автоматически созданного сертификата.
  5. Сохранить новый сертификат, нажав кнопку "Да".

Экспорт нового сертификата

  1. Выбрать нужный сертификат;
  2. Нажать кнопку "Экспорт";
  3. Выбрать имя файла для сохранения сертификата;
  4. Выбрать формат экспорта "PEM (*.crt)";
  5. Оставить пустой пароль, нажать кнопку "Да" для сохранения сертификата;

Импорт сертификата в FreeIPA

Через WEB-интерфейс

  1. Скопировать сертификат в формате PEM в clipboard (например, открыв файл, в который экспортирован сертификат, с помощью текстового редактора kate);

    В ОС ОН Astra Linux CE сертификат можно скопировать в clipboard непосредственно из XCA
  2. Войти в WEB-интерфейс FreeIPA;
  3. Перейти в "Профиль" - "Службы";
  4. Выбрать нужную службу (например, "HTTP:/...";
  5. Нажать кнопку "Добавить";
  6. В открывшееся окно вставить копию сертификата;
  7. Нажать кнопку "Добавить" для сохранения;

Из командной строки

В ситуации, когда WEB-интерфейс недоступен (например, по причине истёкшего срока действия сертификата), для импорта сертификата в FreeIPA можно использовать инструмент командной строки certutil.

  1. Создать и экспортировать новый сертификат  из XCA в файл по процедурам, описанным выше;
  2. Удалить старый сертификат из базы данных сертификатов /etc/apache2/nssdb командой (пример, для сервера с именем ipa.ipadomain.ru):

    certutil -d /etc/apache2/nssdb -D -n ipa.ipadomain.ru

  3. Добавить новый сертификат командой (пример для сертификата, находящегося в файле с именем certificate.crt):

    certutil -d /etc/apache2/nssdb -A -t ,,, -n ipa.ipadomain.ru -i certificate.crt
    После параметра -t - пробел и три запятые.

  4. Перезапустить сервисы FreeIPA командой

    ipactl restart





  • No labels