Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 2 Следующий »

Дополнительная информация по работе  XCA содержится в статьях Управление ключами: XCA и Создание ключей для OpenVPN с помощью графического инструмента XCA.


Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1

Подготовка

Установить на сервере инструмент командной строки XCA:

apt install xca


Запустить инструмент с помощью графического меню

Пуск => "Утилиты" => "Цифровые сертификаты XCA"

при необходимости установить русский язык: 

"File" => "Language" => "Russian"

и создать базу данных, в которой будут храниться сертификаты:

«Файл» => «Новая база данных» Выбрать место хранения базы=> Задать имя базы => «Сохранить» => При необходимости задать пароль для доступа к базе данных.

Создание корневого сертификата

В инструменте XCA

  • Перейти на вкладку «Сертификаты»и выбрать «Новый сертификат»;
    • Выбрать "Шаблон для нового сертификата"  "[Default] CA";
    • Нажать кнопку "Применить всё";
  • Перейти на вкладку «Владелец»;
    • В поле "commonName" указать имя сертификата (например, rootCA)
    • Выбрать «Создать новый ключ»:
      • В поле «Имя ключа» указать имя ключа, например rootKey 
      • Нажать «Создать»
  • Перейти на вкладку «Расширения»
    • Убедиться, что выбран «Тип» «Центр Сертификации»;
    • Отметить пункты "Critical", "Subject Key identifier", "Authority key Identifier"
    • Определить срок действия сертификата: «Временной диапазон» => 10
  • Сохранить созданный сертификат: «Применить» => «Да»

Создание сертификата для сервера

  • Перейти на вкладку «Сертификаты»и «Новый сертификат»;
    • Для использования для подписания ранее созданного сертификата установить отметку «Use this Certificate for signing» => «rootCA»; 
    • Выбрать шаблон для нового сертификата "[Default] HTTPS_server"
    • Нажать кнопку "Применить всё"
  • Перейти на вкладку «Владелец»;
    • Выбрать «Создать новый ключ»;
      • В поле «Имя ключа» указать имя ключа, например serverKey;
      • Нажать «Создать»;
    • Задать в соответствующих полях «Внутреннее имя»  «FQDN сервера» или «FQDN реплики» и «commonName» так же «FQDN»;
  • Перейти во вкладку «Расширения»;
    • Выбрать «Тип» «Конечный пользователь»;
    • Отметить пункты "Critical", "Subject Key identifier", "Authority key Identifier"
    • Определить срок действия сертификата: «Временной диапазон» => 5;
    • Заполнить поле "X509v3 Subject Alternative Name"  так же, как поля "Внутреннее имя" и "commonName" ;
  • Сохранить созданный сертификат«Применить» => «Да»;

Экспорт сертификата

  • Выбрать нужный сертификат сервера, далее «Экспорт» => «Формат экспорт» => PKCS12 chain => «Да»
  • Задать пароль на экспортируемый контейнер => «Да»

На предполагаемом сервере установить пакет astra-freeipa-server:

apt install astra-freeipa-server


Для того что бы провести инициализацию сервера с указанием нужного контейнера сертификата, нужно запустить команду «astra-freeipa-server» с дополнительными ключами -l <путь_к_контейнеру> и -lp <пароль_контейнера>, например:

# astra-freeipa-server -l /root/server.example.com.p12 -lp Password123


Посмотреть другие ключи команды astra-freeipa-server можно так:

# astra-freeipa-server --help
  • Нет меток