Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 3 Следующий »

Дополнительная информация по работе  XCA содержится в статьях Управление ключами: XCA и Создание ключей для OpenVPN с помощью графического инструмента XCA.

Данная статья применима к:

  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1

Исходные данные

Имя домена IPADOMAIN.RU

Имя основного сервера SERVER.IPADDOMAIN.RU

Имя сервера-реплики REPLICA.IPADOMAIN.LE

В качестве центра сертификации может использоваться любой компьютер, не обязательно находящийся в домене.

Описанная процедура позволяет получить сертификаты, максимально близкие к сертификатам, которые выпускаются при использовании центра сертификации DogTag.

Подготовка

Установить на компьютере, который будет выполнять роль центра сертификации, инструмент командной строки XCA:

apt install xca


Запустить инструмент с помощью графического меню

Пуск => "Утилиты" => "Цифровые сертификаты XCA"

при необходимости установить русский язык: 

"File" => "Language" => "Russian"

и создать базу данных, в которой будут храниться сертификаты:

«Файл» => «Новая база данных» Выбрать место хранения базы=> Задать имя базы => «Сохранить» => При необходимости задать пароль для доступа к базе данных.

Создание корневого сертификата

В инструменте XCA

  • Перейти на вкладку «Сертификаты»и выбрать «Новый сертификат»;
    • Убедиться, что выбран пункт "Создать самоподписанный сертификат...";
    • Выбрать "Шаблон для нового сертификата"  "[Default] CA";
    • Нажать кнопку "Применить всё";
  • Перейти на вкладку «Владелец»;
    • (рекомендуется) в поле "organizatioName" указать имя домена (IPADOMAIN.RU);
    • (рекомендуется) в поле "commonName" указать имя "Certification authority";
    • По необходимости заполнить остальные поля;
    • Выбрать «Создать новый ключ»:
      • В поле «Имя ключа» указать имя ключа, например CA
      • Нажать «Создать»
  • Перейти на вкладку «Расширения»
    • Убедиться, что выбран «Тип» «Центр Сертификации»;
    • Отметить пункты "Critical", "Subject Key identifier", "Authority key Identifier"
    • Определить срок действия сертификата: «Временной диапазон» => 10 (года)
  • Перейти на вкладку "Область применения ключа"
    • Отметить пункт "Critical", выбрать функции "Digital Signature", "Non repudation", "Certificate Sign", "CRL Sign";
  • Сохранить созданный сертификат: «Применить» => «Да»

Создание сертификата для сервера

  • Перейти на вкладку «Сертификаты»и нажать кнопку «Новый сертификат»;
    • Для использования для подписания ранее созданного сертификата установить отметку «Use this Certificate for signing» => «rootCA»; 
    • Выбрать шаблон для нового сертификата "[Default] HTTPS_server"
    • Нажать кнопку "Применить всё"
  • Перейти на вкладку «Владелец»;
    • (рекомендуется) в поле "organizatioName" указать имя домена (IPADOMAIN.RU);
    • (рекомендуется) в поле "commonName" указать имя сервера (строчными буквами) "server.ipadomain.ru", "replica.ipadomain.ru" и т.д.;
    • Выбрать «Создать новый ключ»;
      • В поле «Имя ключа» указать имя ключа, например serverKey;
      • Нажать «Создать»;
    • По необходимости заполнить остальные поля;
  • Перейти во вкладку «Расширения»;
    • Выбрать «Тип» «Конечный пользователь»;
    • Отметить пункты "Critical", "Subject Key identifier", "Authority key Identifier"
    • Определить срок действия сертификата: «Временной диапазон» => 5;
    • Заполнить поле "X509v3 Subject Alternative Name"  так же, как поля "Внутреннее имя" и "commonName" ;
  • Перейти на вкладку "Область применения ключа";
    • В левой части отметить пункт "Critical", выбрать функции "Digital Signature", "Non Repudiation", "Key Encipherment", Data Encipherment";
    • В правой части выбрать функцию "TLS Web Server Authentication";
  • Сохранить созданный сертификат«Применить» => «Да»;

Экспорт сертификата

  • Выбрать нужный сертификат сервера, далее «Экспорт» => «Формат экспорт» => PKCS12 chain => «Да»
  • Задать пароль на экспортируемый контейнер => «Да»

На предполагаемом сервере установить пакет astra-freeipa-server:

apt install astra-freeipa-server


Для того что бы провести инициализацию сервера с указанием нужного контейнера сертификата, нужно запустить команду «astra-freeipa-server» с дополнительными ключами -l <путь_к_контейнеру> и -lp <пароль_контейнера>, например:

# astra-freeipa-server -l /root/server.example.com.p12 -lp Password123


Посмотреть другие ключи команды astra-freeipa-server можно так:

# astra-freeipa-server --help
Для повторяющегося создания типовых сертификатов можно создать собственный шаблон с типовыми настройками.
  • Нет меток