Автоматизирует выпуск сертификатов для серверов (реплик) FreeIPA. Предназначен для использования в системах, в которых не применяется DogTag, являющийся штатной системой управления сертификатами FreeIPA.
Сценарий применения:
- Первый север FreeIPA инициализируется с помощью инструмента astra-freeipa-server с использованием автоматического выпуска самоподписанного корневого сертификата. При этом в каталоге /etc/ssl/freeipa создаются файлы:
- /etc/ssl/freeipa/ca.key - закрытый ключ удостоверяющего центра;
- /etc/ssl/freeipa/ca.crt - сертификат закрытого ключа удостоверяющего центра;
- /etc/ssl/freeipa/server.key - закрытый ключ сервера;
- /etc/ssl/freeipa/server.crt - сертификат закрытого ключа сервера;
- Для выпуска сертификатов следующих серверов (реплик) используется инструмент astra-freeipa-server-ctr:
astra-freeipa-server-ctr --host replica1.ipadomain.le --export --push localadm@192.168.32.1 --pin 12345
где
--host - полное доменное имя нового сервера:
--export - указание выгрузить контейнер закрытого ключа и сертификата контейнер pksc12;
--push - указание скопировать контейнер pkcs12 на сервер, где будет выполняться установка, в домашний каталог пользователя localadm в файл с именем replica1.ipadomain.ru.p12;
--pin - пароль к созданному контейнеру;ы - Установка FreeIPA на сервере-реплике выполняется командой:
astra-freeipa-replica -a replica1.ipadomain.ru.p12 --pin 12345 - По мере необходимости обновление сертификатов выполняется командой:
astra-freeipa-server-ctr --host replica1.ipadomain.ru --push admin
где
--host - полное доменное имя сервера-реплики;
--push - указание автоматически установить выпущенный сертификат на сервере реплике, действуя от имени пользователя admin