- Аннотация
- Что такое DogTag
- Общая информация
- Оригинальная документация DogTag
- Установка пакетов
- FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6
- Установка пакетов
- Установка пакетов для Astra Linux Special Edition РУСБ.1015-01 очередное обновление 1.6
- Установка нового сервера с одновременной установкой центра сертификации
- Установка новой реплики с одновременной установкой центра сертификации
- Установка сертификата в Astra Linux
- Установка сертификата системно
Аннотация
В данной статье представлена инструкция по установке серверов и реплик контроллера домена FreeIPA в связке с центром сертификации DogTag. Для успешного запуска центра сертификации DogTag требуется установка OpenJDK из компонента astra-ce расширенного репозитория Astra Linux Special Edition x.7. Отдельно про установку OpenJDK см. Расширенный репозиторий Astra Linux Special Edition x.7: установка и развертывание OpenJDK .
Программное обеспечение расширенного репозитория является сторонним по отношению к Astra Linux, не дорабатывается с точки зрения выполнения требований по безопасности информации и не проверяется при сертификации.
Подробнее см. Использование стороннего программного обеспечения в аттестованных информационных системах, функционирующих под управлением Astra Linux Special Edition.
При использовании программного обеспечения расширенного репозитория рекомендуется для дополнительной изоляции процессов осуществлять их запуск в изолированной программной среде (контейнере) [п. 7.2 РукКСЗ1]. При использовании для этих целей Docker-контейнеров их запуск целесообразно осуществлять от имени непривилегированного пользователя в rootless-режиме, а при включенном мандатном контроле целостности (МКЦ) с применением технологии запуска контейнеров на пониженном [п. 7.2.1] или выделенном [п. 7.2.7] уровне МКЦ.
Установка FreeIPA в связке с центром сертификации DogTag должна выполняться из компонента astra-ce расширенного репозитория.
Подробнее про структуру и использование репозиториев см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования .
Что такое DogTag
Общая информация
Центр сертификации DogTag представляет собой систему управления сертификатами корпоративного класса, обеспечивающую управление полным жизненным циклов сертификатов. Под термином «сертификат» подразумевается сертификат публичного (открытого) ключа, использующий цифровую подпись центра сертификации для аутентификации (удостоверяющий сертификат). Сертификаты являются текстовыми файлами и могут содержать такую информацию, как имена лиц или названия организаций, адреса и т.д. Сертификаты используются для того, чтобы удостовериться в принадлежности открытого ключа субъекту. Центр сертификации DogTag интегрирован со службами FreeIPA, и поддерживает следующие возможности работы с сертификатами:
- Выпуск сертификатов;
- Выдачу (публикацию) сертификатов;
- Отзыв сертификатов;
- Создание и публикацию списков отзыва сертификатов;
- Профили сертификатов;
- Протокол публикации сертификатов Simple Certificate Enrollment Protocol (SCEP);
- Создание локального удостоверяющего центра (Registration Authority,LRA) организации аутентификации и управлениям политиками;
- Сохранение и восстановление закрытых ключей;
- Управление токенами:
- Профили токенов;
- Выдачу, блокировку, восстановление и очистку токенов;
- Запись токенов;
При работе с Контроллер ЕПП FreeIPA в Astra Linux в автоматическом режиме обеспечивается выпуск и обновление сертификатов серверов FreeIPA.
Оригинальная документация DogTag
Оригинальная документация DogTag доступна по ссылке: https://github.com/dogtagpki/pki/wiki.
Установка пакетов
- Подключить репозитории:
- основной репозиторий и актуальное оперативное обновление основного репозитория
- актуальное оперативное обновление базового репозитория;
- актуальное оперативное обновление расширенного репозитория, включая компонент astra-ce
Для подключения центра сертификации к ранее установленному серверу (реплике) FreeIPA см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6
FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6
Центр сертификации DogTag использует Java, и без Java работать не может. По требованиям безопасности средства Java исключены из состава Astra Linux Special Edition. При выполнении описанной ниже процедуры средства Java будут установлены в Astra Linux Special Edition. Совместимость платформ Astra Linux Common Edition и Astra Linux Special Edition позволяет выполнить эту операцию, однако, выполняя эти действия, вы принимаете на себя ответственность за возможные последствия с точки зрения безопасности.
При выполнении приведённых ниже инструкций должны использоваться компьютеры с достаточным количеством аппаратных ресурсов (виртуальных аппаратных ресурсов):
Недостаток ресурсов ведёт к сложно диагностируемым случайным ошибкам.
Установка пакетов
Установка пакетов для Astra Linux Special Edition РУСБ.1015-01 очередное обновление 1.6
- Отключить репозиторий (диски с дистрибутивами) Astra Linux Special Edition, и подключить репозиторий Astra Linux Common Edition.
- Обновить кеш пакетов:
При необходимости повторной установки или установки в сети, из которой нет доступа к репозиторию Astra Linux Common Edition, загруженные на данном этапе пакеты можно разместить в отдельном репозитории для повторного использования.
Добавление центра сертификации к ранее инициализированному серверу (серверу-реплике)
Если сервер FreeIPA был установлен и инициализирован ранее без центра сертификации, то после описанной выше установки пакетов инициализировать центр сертификации командами:
Установка нового сервера с одновременной установкой центра сертификации
После описанного выше подключения репозиториев установить пакеты:
После установки пакетов инициализировать сервер используя ключ —dogtag. Подробности см. в общем описании установки Контроллер ЕПП FreeIPA в Astra Linux.
Использование ключа —dogtag доступно:
- в Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.6 начиная с обновления безопасности БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5) и в более поздних обновлениях;
- в Astra Linux Special Edition РУСБ.10015-16 исп. 1
Установка новой реплики с одновременной установкой центра сертификации
Настроить статический IP-адрес и имя хоста в соответствии с инструкциями по установке обычного сервера FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux).
Выполнить описанную выше процедуру по подключению репозиториев.
После выполнения установки пакетов инициализировать сервер-реплику. По дробности см. в общем описании установки Контроллер ЕПП FreeIPA в Astra Linux
Установка сертификата в Astra Linux
1. Запускаем Firefox и открываем настройки.
2. Выбираем раздел «Приватность и защита». Листаем страницу вниз, до раздела «Сертификаты», и жмём на кнопку «Просмотр сертификатов…»
3. В Диалоговом окне «Управлении сертификатами» выбираем вкладку «Центры сертификации» и нажимаем кнопку «Импортировать…»
4. В появившемся диалоговом окне выбираем предоставленный корневой сертификат и жмём «Открыть». Корневой сертификат должен быть предварительно загружен.
5. Устанавливаем галочку на пункте «Доверять при идентификации веб-сайтов» и нажимаем «ОК»
6. Загруженный сертификат должен появиться в списках доверенных сертификатов
Установка сертификата системно
1. Запускаем «Терминал Fly»
2. Вводим две команды в указанной последовательности (регистр имеет значение). Сертификат должен находиться в каталоге «Загрузки».
- «sudo cp Загрузки/ca-root.crt /usr/local/share/ca-certificates»
- «sudo update-ca-certificates»
Техническая поддержка проекта ЕСПД «Цифровая экономика».
Государственные контракты № 0410/151 от 30.12.2021, № 0410/56 от 10.08.2022, № 0410/121 от 26.12.2022
Регламент технической поддержки8 800 301 34 14