alexkuryshko
Участник
- Регистрация
- 14.08.24
- Сообщения
- 7
- Реакции
- 0
По умолчанию, при установке и обновлении ПК "ALD Pro", генерируется сертификат длительностью 10 лет. На данный момент нами исследуются причины, которые приводят к генерации пароля на 1 месяц.
Ниже будет приведен пример. Для выполнения инструкции просим изменить значения dc-01.aldpro.lan и dc-02.aldpro.lan на собственные.
Для обновления сертификатов (HTTPS, LDAPS, Kerberos) на реплике необходимо на 1-ом КД сгенерировать новый контейнер сертификатов p12 для сервера реплики и передать его на этот сервер:
Применить новый сертификат на реплике:
Далее, для отображения в вэб-интерфейсах, необходимо:
Ниже будет приведен пример. Для выполнения инструкции просим изменить значения dc-01.aldpro.lan и dc-02.aldpro.lan на собственные.
Для обновления сертификатов (HTTPS, LDAPS, Kerberos) на реплике необходимо на 1-ом КД сгенерировать новый контейнер сертификатов p12 для сервера реплики и передать его на этот сервер:
# dc-01sudo astra-freeipa-server-crt --host dc-02.aldpro.lan --export --pin 12345 --push admin@dc-02.aldpro.lanПрименить новый сертификат на реплике:
# dc-02
Код:
sudo -i
kinit admin
ipa-certupdate
mv /home/admin/dc-02.aldpro.lan.p12 /etc/ssl/freeipa/
ipa-server-certinstall -w -d -k /etc/ssl/freeipa/dc-02.aldpro.lan.p12
ipactl restartДалее, для отображения в вэб-интерфейсах, необходимо:
- Скопировать содержание файла /home/admin/dc-02.aldpro.lan.crt на реплике.
- Перейти в веб-интерфейсе FreeIPA https://dc-01.aldpro.lan/ipa/ui/ на страницу Идентификация -> Службы -> HTTP/dc-02.aldpro.lan@ALDPRO.LAN.
- В пункте "Сертификат службы" выбрать "Действия" -> "Удалить", и удалить старый сертификат.
- В пункте "Сертификат службы" нажать кнопку добавить, ввести ранее скопированный сертификат и нажать кнопку добавить.
- Повторить данные действия со службой LDAP.