Розглянемо встановлення сертифіката від Sectigo (Comodo)
Маємо наступний список файлів:
- your_domain.crt – основний сертифікат;
- your_domain.ca-bundle – проміжні сертифікати;
- your_domain.key – ключ;
Перед встановленням, потрібно додатково завантажити сертифікати з сайту https://sectigo.com/knowledge-base/detail/AAA-Certificate-Services-Root-2028/kA03l00000117cL.
Нижче список додаткових сертифікатів які необхідно встановити:
- AAACertificateServices 5/12/2020
- USERTrustRSAAAACA 5/12/2020
- http://crt.sectigo.com/SectigoRSADomainValidationSecureServerCA.crt
Маю два сервери ipa, тож спочатку всі маніпуляції проводитиму на ipa-2, а потім потрібно буде повторити на ipa-1.
Для початку завантажуємо сертифікати на сервер, розмістимо їх в одній директорії:
[root@ipa-2 certs]# ll total 32 -rw-r--r--. 1 root root 1559 Nov 2 2018 SectigoRSADomainValidationSecureServerCA.crt -rw-r--r--. 1 trotsenko trotsenko 1517 Aug 4 12:10 SectigoRootCA.cer -rw-r--r--. 1 trotsenko trotsenko 1968 Aug 4 14:25 USERTrustRSAAAACA.cer -rw-r--r--. 1 root root 2191 Aug 3 14:11 your_domain.crt -rw-r--r--. 1 root root 2191 Aug 3 14:11 your_domain.ca-bundle -rw-r--r--. 1 root root 1675 Aug 3 14:11 your_domain.key
Створюємо файл full.your_domain.crt в якому об’єднуємо місткість наступних сертифікатів your_domain.crt та your_domain.ca-bundle, після об’єднання видаляємо не потрібні сертифікати:
[root@ipa-2 certs]# cat your_domain.crt >> full.your_domain.crt [root@ipa-2 certs]# cat your_domain.ca-bundle >> full.your_domain.crt
Отримали оновлений список:
[root@ipa-2 certs]# ll total 32 -rw-r--r--. 1 root root 1559 Nov 2 2018 SectigoRSADomainValidationSecureServerCA.crt -rw-r--r--. 1 trotsenko trotsenko 1517 Aug 4 12:10 SectigoRootCA.cer -rw-r--r--. 1 trotsenko trotsenko 1968 Aug 4 14:25 USERTrustRSAAAACA.cer -rw-r--r--. 1 root root 2191 Aug 3 14:11 full.your_domain.crt -rw-r--r--. 1 root root 1675 Aug 3 14:11 your_domain.key
Наразі виконуємо підготовку, встановлюємо root та проміжні сертифікати:
[root@ipa-2 certs]# ipa-cacert-manage -p 'DirectoryManager Pass' -n SectigoRootCA -t C,, install SectigoRootCA.cer [root@ipa-2 certs]# ipa-cacert-manage -p 'DirectoryManager Pass' -n USERTrustRSAAAACA -t C,, install USERTrustRSAAAACA.cer [root@ipa-2 certs]# ipa-cacert-manage -p 'DirectoryManager Pass' -n SectigoRSADomainValidationSecureServerCA -t C,, install SectigoRSADomainValidationSecureServerCA.crt
Виконуємо оновлення:
[root@ipa-2 ~] ipa-certupdate
Авторизуємось під admin користувачем:
[root@ipa-2 ~] kinit YOUR_ADMIN_IPA_USER Password for admin@YOUR_DOMAIN.COM:
Встановлюємо нові сертифікати:
[root@ipa-2 certs]# ipa-server-certinstall -w -d -v /root/certs/your_domain.key /root/certs/full.your_domain.crt
Перезавантажуємо сервіс httpd:
systemctl restart httpd.service
Якщо сертифікат не оновився, можемо додатково перезапустити саму ipa та перевірити статус:
[root@ipa-2 certs]# ipactl restart [root@ipa-2 certs]# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING ntpd Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING
Перевіряємо оновлений сертифікат:
[root@ipa-2 certs]# echo | openssl s_client -showcerts -servername gnupg.org -connect your_domain.com:443 2>/dev/null | openssl x509 -inform pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bf:e3:0c:aa:08:2c:8f:fe:84:5f:dd:f3:84:03:4f:4f
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Validity
Not Before: Jul 27 00:00:00 2022 GMT
Not After : Jul 27 23:59:59 2023 GMT
Subject: CN=*.your_domain.com
Subject Public Key Info:Аналогічні маніпуляції потрібно провести й на інших серверах ipa (якщо вони є).
Посилання на тему
- https://www.freeipa.org/page/Using_3rd_part_certificates_for_HTTP/LDAP#Prerequisite_2
- https://sectigo.com/knowledge-base/detail/AAA-Certificate-Services-Root-2028/kA03l00000117cL
- https://sectigo.com