Применение XCA

Установка, настройка, общие принципы работы с XCA

Установка, базовая настройка, общие принципы работы с инструментом XCA описаны в статье XCA: графический инструмент для работы с сертификатами и ключевыми носителями.

Импорт ключей и сертификатов в  XCA

Расположение ключей и сертификатов

При установке FreeIPA с помощью инструментов astra-freeipa-server или fly-admin-freeipa-server с использованием автоматической генерации ключей и сертификатов созданные файлы сохраняются в каталоге /etc/ssl/freeipa.

Перечень файлов:

Импорт ключей и сертификатов в XCA

1. Запустить XCA от имени суперпользователя (root).
2. Создать новую базу данных, если она не была создана ранее.
3. Последовательно импортировать нужные ключи и сертификаты:
   1. закрытый ключ удостоверяющего центра /etc/ssl/freeipa/ca.key;
   2. сертификат открытого ключа удостоверяющего центра /etc/ssl/freeipa/ca.crt;
   3. закрытый ключ сервера FreeIPA /etc/ssl/freeipa/server.key;
   4. сертификат открытого ключа сервера FreeIPA /etc/ssl/freeipa/server.crt.

Выпуск нового сертификата сервера FreeIPA

Для выпуска нового сертификата сервера FreeIPA проще всего воспользоваться уже импортированным сертификатом в качестве образца.

Для этого:

1. В инструменте XCA перейти в список сертификатов.
2. Нажать правой кнопкой мыши на ранее импортированный сертификат сервера FreeIPA.
3. Во всплывающем меню выбрать "Transform" - "Similar Certificate".

4. В появившейся форме с копией существующего сертификата внести нужные исправления (в частности, уточнить сроки начала и окончания действия сертификата).

   Срок начала действия сертификата должен быть строго позже срока начала действия сертификата удостоверяющего центра.
   Рекомендуется прибавить несколько минут к сроку начала действия, полученному из автоматически созданного сертификата.
5. Сохранить новый сертификат, нажав кнопку "Да".

Экспорт нового сертификата

1. Выбрать нужный сертификат.
2. Нажать кнопку "Экспорт".
3. Выбрать имя файла для сохранения сертификата.
4. Выбрать формат экспорта "PEM (*.crt)".
5. Оставить пустой пароль, нажать кнопку "Да" для сохранения сертификата.

Импорт сертификата в FreeIPA

Импорт в базу сертификатов apache2

Через web-интерфейс FreeIPA

1. Скопировать сертификат в формате PEM в clipboard (например, открыв файл, в который экспортирован сертификат, с помощью текстового редактора kate);

   В ОС ОН Astra Linux CE сертификат можно скопировать в clipboard непосредственно из XCA
2. Войти в web-интерфейс FreeIPA.
3. Перейти в "Профиль" - "Службы".
4. Выбрать нужную службу (например, "HTTP:/...").
5. Нажать кнопку "Добавить".
6. В открывшееся окно вставить копию сертификата.
7. Нажать кнопку "Добавить" для сохранения.

Из командной строки

В ситуации, когда web-интерфейс недоступен (например, по причине истёкшего срока действия сертификата), для импорта сертификата в FreeIPA можно использовать инструмент командной строки certutil.

1. Создать и экспортировать новый сертификат  из XCA в файл по процедурам, описанным выше.

2. Удалить старый сертификат из базы данных сертификатов /etc/apache2/nssdb командой (пример, для сервера с именем ipa.ipadomain.ru):

   sudo certutil -d /etc/apache2/nssdb -D -n ipa.ipadomain.ru

3. Добавить новый сертификат командой (пример для сертификата, находящегося в файле с именем certificate.crt):

   sudo certutil -d /etc/apache2/nssdb -A -t ,, -n ipa.ipadomain.ru -i certificate.crt
   После параметра -t - пробел и две запятые.
   
   

4. Перезапустить сервисы FreeIPA командой

   sudo ipactl restart

Импорт в базу сертификатов службы каталогов (dirsrv)

База сертификатов службы каталогов находится в подкаталоге /etc/dirsrv/slapd-<ИМЯ_ОБЛАСТИ>. <ИМЯ_ОБЛАСТИ> записывается заглавными буквами с использованием тире вместо точек, в остальном действия аналогичны действиям для работы с базой сертификатов apache2. Например, для службы каталогов домена ipa.ipadomain.ru команды будут выглядеть так: