Содержание

Skip to end of metadata
Go to start of metadata

Данная статья применима к:

  • Операционная Система Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Операционная Система Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2
  • Операционная Система Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12

Данная статья актуальна в случаях, когда FreeIPA используется без центра сертификации DogTag (ситуации, типичная для использования FreeIPA в Astra Linux Special Edition)

При использовании FreeIPA на любой версии ОС Astra Linux без возможности использования центра сертификации DogTag рекомендуется использовать для управления ключами  графический инструмент XCA.

Порядок создания сертификатов описан в соответствующих статьях про этот инструмент.

Далее в статье рассматривается ситуация, когда службы FreeIPA установлены с использованием автоматической генерации самоподписанных сертификатов (инструмент astra-freeipa-server или fly-admin-freeipa-server).
Статья также применима в случаях установки с использованием сертификатов внешнего удостоверяющего центра.

Применение XCA

Установка, настройка, общие принципы работы с XCA

Установка, базовая настройка, общие принципы работы с инструментом XCA описаны в соответствующей статье.

Импорт ключей и сертификатов в  XCA

Где искать ключи и сертификаты

При установке FreeIPA с помощью инструментов astra-freeipa-server или fly-admin-freeipa-server с использованием автоматической генерации ключей и сертификатов созданные файлы сохраняются в каталоге /etc/ssl/freeipa.

Перечень файлов:

Имя файлаОписание
ca.crtСертификат открытого ключа удостоверяющего центра в формате PEM

ca.key

Закрытый ключ удостоверяющего центра

ca.srl


server.crt

Сертификат открытого ключа сервера FreeIPA в формате PEM

server.csr

Запрос на выпуск сертификата открытого ключа сервера FreeIPA

server.key

Закрытый ключ сервера FreeIPA
server.p12Сертификат открытого ключа сервера FreeIPA в формате PKCS#12

Импорт ключей и сертификатов в XCA

  1. Запустить XCA от имени суперпользователя (root);
  2. Создать новую базу данных, если она не была создана ранее;
  3. Последовательно импортировать нужные ключи и сертификаты:
    1. Закрытый ключ удостоверяющего центра /etc/ssl/freeipa/ca.key;
    2. Сертификат открытого ключа удостоверяющего центра /etc/ssl/freeipa/ca.crt;
    3. Закрытый ключ сервера FreeIPA /etc/ssl/freeipa/server.key;
    4. Сертификат открытого ключа сервера FreeIPA /etc/ssl/freeipa/server.crt;

Выпуск нового сертификата сервера FreeIPA

Для выпуска нового сертификата сервера FreeIPA проще всего воспользоваться уже импортированным сертификатом в качестве образца.

Для этого:

  1. В инструменте XCA перейти в список сертификатов;
  2. Нажать правой кнопкой мыши на ранее импортированный сертификат сервера FreeIPA;
  3. Во всплывающем меню выбрать "Transform" - "Similar Certificate";
  4. В появившейся форме с копией существующего сертификата внести нужные исправления (в частности, уточнить сроки начала и окончания действия сертификата);

    Срок начала действия сертификата должен быть строго позже срока начала действия сертификата удостоверяющего центра.
    Рекомендуется прибавить несколько минут к сроку начала действия, полученному из автоматически созданного сертификата.
  5. Сохранить новый сертификат, нажав кнопку "Да".

Экспорт нового сертификата

  1. Выбрать нужный сертификат;
  2. Нажать кнопку "Экспорт";
  3. Выбрать имя файла для сохранения сертификата;
  4. Выбрать формат экспорта "PEM (*.crt)";
  5. Оставить пустой пароль, нажать кнопку "Да" для сохранения сертификата;

Импорт сертификата в FreeIPA

Импорт в базу сертификатов apache2

Через web-интерфейс FreeIPA

  1. Скопировать сертификат в формате PEM в clipboard (например, открыв файл, в который экспортирован сертификат, с помощью текстового редактора kate);

    В ОС ОН Astra Linux CE сертификат можно скопировать в clipboard непосредственно из XCA
  2. Войти в web-интерфейс FreeIPA;
  3. Перейти в "Профиль" - "Службы";
  4. Выбрать нужную службу (например, "HTTP:/...";
  5. Нажать кнопку "Добавить";
  6. В открывшееся окно вставить копию сертификата;
  7. Нажать кнопку "Добавить" для сохранения;

Из командной строки

В ситуации, когда web-интерфейс недоступен (например, по причине истёкшего срока действия сертификата), для импорта сертификата в FreeIPA можно использовать инструмент командной строки certutil.

  1. Создать и экспортировать новый сертификат  из XCA в файл по процедурам, описанным выше;
  2. Удалить старый сертификат из базы данных сертификатов /etc/apache2/nssdb командой (пример, для сервера с именем ipa.ipadomain.ru):

    sudo certutil -d /etc/apache2/nssdb -D -n ipa.ipadomain.ru

  3. Добавить новый сертификат командой (пример для сертификата, находящегося в файле с именем certificate.crt):

    sudo certutil -d /etc/apache2/nssdb -A -t ,, -n ipa.ipadomain.ru -i certificate.crt

    После параметра -t - пробел и две запятые.

  4. Перезапустить сервисы FreeIPA командой

    sudo ipactl restart

Импорт в базу сертификатов службы каталогов (dirsrv)

База сертификатов службы каталогов находится в подкаталоге /etc/dirsrv/slapd-<ИМЯ_ОБЛАСТИ>. <ИМЯ_ОБЛАСТИ> записывается заглавными буквами с использованием тире вместо точек, в остальном действия аналогичны действиям для работы с базой сертификатов apache2. Например, для службы каталогов домена ipa.ipadomain.ru команды будут выглядеть так:

sudo certutil -d /etc/dirsrv/slapd-IPA-IPADOMAIN-RU -D -n ipa.ipadomain.ru
sudo certutil -d /etc/dirsrv/slapd-IPA-IPADOMAIN-RU -A -t ,, -n ipa.ipadomain.ru -i certificate.crt



  • No labels