Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 4 Следующий »

Инструмент astra-freeipa-server-crt автоматизирует выпуск сертификатов для серверов (реплик) FreeIPA.
Предназначен для автоматизации работы в системах, в которых не применяется DogTag, являющийся штатной системой управления сертификатами FreeIPA.

Данная статья предполагает, что читатель ознакомлен с базовыми материалами по установке FreeIPA


Данная статья применима к:

  • ОС СН Смоленск 1.6 Update 5

Сценарий применения:

  1. Первый контроллер домена FreeIPA инициализируется с помощью инструмента astra-freeipa-server с использованием автоматического выпуска самоподписанного корневого сертификата и без использования центра авторизации DogTag.
    При такой инициализации в каталоге /etc/ssl/freeipa автоматически создаются файлы:
    1. /etc/ssl/freeipa/ca.key - закрытый ключ удостоверяющего центра;
    2. /etc/ssl/freeipa/ca.crt - сертификат закрытого ключа удостоверяющего центра;
    3. /etc/ssl/freeipa/server.key - закрытый ключ сервера;
    4. /etc/ssl/freeipa/server.crt - сертификат закрытого ключа сервера; 

  2. Пользователь-администратор на сервере-реплике выполняет настройки параметров хоста (IP-адрес, адрес сервера DNS, hostname) и установку пакетов. В том числе на сервере - реплике запускается служба SSH:

    sudo systemctl enable -now ssh

  3. Пользователь-администратор на сервере-реплике выполняет ввод сервера в домен;

  4. Для выпуска сертификатов следующих устанавливаемых контроллеров-реплик используется инструмент astra-freeipa-server-ctr. Пример команды, выполняемой на основном сервере:

    astra-freeipa-server-ctr --host replica1.ipadomain.ru --export --push localadm@192.168.32.1 --pin 12345
    где:
    --host - полное доменное имя нового сервера-реплики;
    --export - указание выгрузить контейнер закрытого ключа и сертификата в файл-контейнер в формате pksc12;
    --push - указание скопировать контейнер pkcs12 на сервер, где будет выполняться установка, в домашний каталог пользователя localadm (в общем случае это пользователь-администратор, заданный при установке системы) в файл с именем replica1.ipadomain.ru.p12 (в качестве имени используется полное доменное имя целевого сервера с расширением .p12);
    --pin - пароль к создаваемому контейнеру;

  5. Установка FreeIPA на сервере-реплике выполняется пользователем-администратором, из его домашнего каталога, в который на предыдущем шаге скопирован контейнер pksc12. Команда:

    astra-freeipa-replica -a replica1.ipadomain.ru.p12 --pin 12345

  6. По мере необходимости (напр. истечение срока действия сертификатов) выпуск новых сертификатов и отправка их на серверы выполняется командой:

    astra-freeipa-server-ctr --host replica1.ipadomain.ru --push admin

    где
    --host - полное доменное имя сервера-реплики;
    --push - указание автоматически установить выпущенный сертификат на сервере реплике, действуя от имени пользователя admin (имя администратора домена "по умолчанию").


  • Нет меток