Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12
Данная статья актуальна в случаях, когда FreeIPA используется без центра сертификации DogTag (ситуации, типичная для использования FreeIPA в Astra Linux Special Edition)

При использовании FreeIPA на любой версии ОС Astra Linux без возможности использования центра сертификации DogTag рекомендуется использовать для управления ключами  графический инструмент XCA.

Порядок создания сертификатов описан в соответствующих статьях про этот инструмент.

Далее в статье рассматривается ситуация, когда службы FreeIPA установлены с использованием автоматической генерации самоподписанных сертификатов (инструмент командной строки astra-freeipa-server или графический инструмент fly-admin-freeipa-server).
Статья также применима в случаях установки с использованием сертификатов внешнего удостоверяющего центра.

Применение XCA

Установка, настройка, общие принципы работы с XCA

Установка, базовая настройка, общие принципы работы с инструментом XCA описаны в статье XCA: графический инструмент для работы с сертификатами и ключевыми носителями.

Импорт ключей и сертификатов в  XCA

Расположение ключей и сертификатов

При установке FreeIPA с помощью инструментов astra-freeipa-server или fly-admin-freeipa-server с использованием автоматической генерации ключей и сертификатов созданные файлы сохраняются в каталоге /etc/ssl/freeipa.

Перечень файлов:

Имя файлаОписание
ca.crtСертификат открытого ключа удостоверяющего центра в формате PEM

ca.key

Закрытый ключ удостоверяющего центра

ca.srl

Серийный номер последнего выпущенного сертификата

server.crt

Сертификат открытого ключа сервера FreeIPA в формате PEM

server.csr

Запрос на выпуск сертификата открытого ключа сервера FreeIPA

server.key

Закрытый ключ сервера FreeIPA
server.p12Сертификат открытого ключа сервера FreeIPA в формате PKCS#12

Импорт ключей и сертификатов в XCA

  1. Запустить XCA от имени суперпользователя (root).
  2. Создать новую базу данных, если она не была создана ранее.
  3. Последовательно импортировать нужные ключи и сертификаты:
    1. закрытый ключ удостоверяющего центра /etc/ssl/freeipa/ca.key;
    2. сертификат открытого ключа удостоверяющего центра /etc/ssl/freeipa/ca.crt;
    3. закрытый ключ сервера FreeIPA /etc/ssl/freeipa/server.key;
    4. сертификат открытого ключа сервера FreeIPA /etc/ssl/freeipa/server.crt.

Выпуск нового сертификата сервера FreeIPA

Для выпуска нового сертификата сервера FreeIPA проще всего воспользоваться уже импортированным сертификатом в качестве образца.

Для этого:

  1. В инструменте XCA перейти в список сертификатов.
  2. Нажать правой кнопкой мыши на ранее импортированный сертификат сервера FreeIPA.
  3. Во всплывающем меню выбрать "Transform" - "Similar Certificate".
  4. В появившейся форме с копией существующего сертификата внести нужные исправления (в частности, уточнить сроки начала и окончания действия сертификата).

    Срок начала действия сертификата должен быть строго позже срока начала действия сертификата удостоверяющего центра.
    Рекомендуется прибавить несколько минут к сроку начала действия, полученному из автоматически созданного сертификата.
  5. Сохранить новый сертификат, нажав кнопку "Да".

Экспорт нового сертификата

  1. Выбрать нужный сертификат.
  2. Нажать кнопку "Экспорт".
  3. Выбрать имя файла для сохранения сертификата.
  4. Выбрать формат экспорта "PEM (*.crt)".
  5. Оставить пустой пароль, нажать кнопку "Да" для сохранения сертификата.

Импорт сертификата в FreeIPA

Импорт в базу сертификатов apache2

Через web-интерфейс FreeIPA

  1. Скопировать сертификат в формате PEM в clipboard (например, открыв файл, в который экспортирован сертификат, с помощью текстового редактора kate);

    В ОС ОН Astra Linux CE сертификат можно скопировать в clipboard непосредственно из XCA
  2. Войти в web-интерфейс FreeIPA.
  3. Перейти в "Профиль" - "Службы".
  4. Выбрать нужную службу (например, "HTTP:/...").
  5. Нажать кнопку "Добавить".
  6. В открывшееся окно вставить копию сертификата.
  7. Нажать кнопку "Добавить" для сохранения.

Из командной строки

В ситуации, когда web-интерфейс недоступен (например, по причине истёкшего срока действия сертификата), для импорта сертификата в FreeIPA можно использовать инструмент командной строки certutil.

  1. Создать и экспортировать новый сертификат  из XCA в файл по процедурам, описанным выше.
  2. Удалить старый сертификат из базы данных сертификатов /etc/apache2/nssdb командой (пример, для сервера с именем ipa.ipadomain.ru):

    sudo certutil -d /etc/apache2/nssdb -D -n ipa.ipadomain.ru

  3. Добавить новый сертификат командой (пример для сертификата, находящегося в файле с именем certificate.crt):

    sudo certutil -d /etc/apache2/nssdb -A -t ,, -n ipa.ipadomain.ru -i certificate.crt
    После параметра -t - пробел и две запятые.

  4. Перезапустить сервисы FreeIPA командой

    sudo ipactl restart

Импорт в базу сертификатов службы каталогов (dirsrv)

База сертификатов службы каталогов находится в подкаталоге /etc/dirsrv/slapd-<ИМЯ_ОБЛАСТИ>. <ИМЯ_ОБЛАСТИ> записывается заглавными буквами с использованием тире вместо точек, в остальном действия аналогичны действиям для работы с базой сертификатов apache2. Например, для службы каталогов домена ipa.ipadomain.ru команды будут выглядеть так:

sudo certutil -d /etc/dirsrv/slapd-IPA-IPADOMAIN-RU -D -n ipa.ipadomain.ru
sudo certutil -d /etc/dirsrv/slapd-IPA-IPADOMAIN-RU -A -t ,, -n ipa.ipadomain.ru -i certificate.crt

  • No labels