狗牌是一个企业级的开源认证机构红帽从2004年红帽AOL购回2008年的狗牌支架打开了它的开源社区证书生命周期管理的各个方面,包括密钥存档,OCSP和智能卡管理,等等。
最重要的是,它是一个可用的CA,已测试使用思科的BYOD解决方案使用思科的身份服务引擎1.2及更新。
注:DogTag还有一个企业级版本,称为红帽证书系统。
在我们进一步之前,我需要发送一个巨大的呼叫Vivek Santuka谁原型及开创工作这一倡议。另外一个调出到布莱恩Sak更新Vivek的工作。
先决条件
狗标签将运行在大多数红帽变种。在本文中,我们将重点关注Fedora Core 15(32位)。这是已知可以工作的版本,并且已经用ISE 1.2进行了测试。这个版本的Fedora可以使用最小选项安装,并将利用Apache web服务器、PHP和开放源码目录服务器。
安装32位Fedora 15
步骤1:用32位的Fedora 15 ISO文件或DVD启动机器,此处提供:
http://dl.fedoraproject.org/pub/fedora/linux/releases/15/Fedora/i386/iso/
步骤2:选择“安装带有基本视频驱动程序的系统”
亚伦Woland
如图一 - 安装屏幕
“最小”安装类型就是这个用例所需要的全部。
亚伦Woland
图2 -最小安装
接受安装其余部分的默认选项
配置网络
证书颁发机构应该有一个静态IP地址,以确保通信始终是最佳的。安装向导的一个组件允许您在安装完成之前配置网络。但是,大多数时候这些设置似乎没有得到维护,并且当Fedora操作系统完全安装好后,没有分配IP地址,如图3所示。
注意:假设您作为“根用户”登录,以执行此文档中的活动。如果没有,请使用"苏 -命令将您的登录上下文更改为超级用户(根用户)。
安装后,检查是否有IP地址。使用ifconfig eth0命令。图3显示了未配置IP地址时的结果。
亚伦Woland
Figure3 - 无IP地址
使用您喜欢的编辑器,编辑ifcfg-eth0文件以设置接口的网络堆栈。
实施例-1:编辑的ifcfg-eth0的文件
root@atw-dogtag01 ~ #vi /etc/sysconfig/network-scripts /根据
- 随着的ifcfg-eth0的文件打开,确保ONBOOT选项设置为“是”。这保证了界面将在系统重新启动上。
- 确保BOOTPROTO选项设置为“none”。这将接口配置为使用静态IP地址。
- 设置IPADDR选项是服务器的所需IP地址,网络掩码是该IP地址的子网掩码。
- DNS1和DNS2选项可以用来将服务器指向正确的DNS服务器。
- 使用GATEWAY选项指定默认网关的IP地址。
例2以下示出了配置的ifcfg-eth0的文件的详细信息:
示例2:配置的ifcfg-eth0文件
root@atw-dogtag01 ~ #猫/etc/sysconfig/network-scripts /根据
设备= " eth0 "
公元前HWADDR = " 00:50:56: B8:: 08年”
ONBOOT = "是的"
NM_CONTROLLED =”是”
BOOTPROTO =没有
IPADDR = 10.1.100.229
子网掩码为255.255.255.0
USERCTL = YES
TYPE =以太网
DNS1 = 10.1.100.103
网关= 10.1.100.1
确保网络在引导时启动,使用“chkconfig网络”命令。
例3:确保在引导时启动网络,并重新启动服务
root@atw-dogtag01 ~ #chkconfig网络
root@atw-dogtag01 ~ #服务网络重启
yum的安装包
Fedora使用一个名为“yum”的软件包管理器来管理操作系统中已安装的软件包。yum提供了识别依赖项并帮助管理应用程序和所有应用程序依赖项的安装的优势。看到http://fedoraproject.org/wiki/Yum更多关于百胜。
我们将使用yum将这个Fedora 15服务器更新为最新的包,并安装所需的应用程序,如NTP。
配置代理(如果需要)
这份文件的写入设置所需的代理服务器访问Internet。因此,该程序被列入。如果您的环境不需要代理来访问互联网,请到步骤2。
第1步使用文本编辑器来编辑yum配置文件位于/etc/yum.conf中
实施例4 - 编辑yum配置文件
root@atw-dogtag01 ~ #vi /etc/yum.conf
步骤2:添加一行for,字段为“proxy=”,后面是代理服务器的URL和端口
示例5 -完成yum.conf文件
root@atw-dogtag01 ~ #猫/etc/yum.conf
(主要)
cachedir = / var /缓存/百胜/ basearch / releasever美元
keepcache = 0
debuglevel = 2
日志文件= / var / log / yum.log
exactarch = 1
淘汰了= 1
gpgcheck = 1
插件= 1
installonly_limit = 3
代理= http://proxy.esl.cisco.com: 8080
用yum更新系统
添加一个yum插件来选择最快的下载地址。这个插件节省了撰写本文的时间。
例6 -安装最快的镜像插件
root@atw-dogtag01 ~ #百胜安装yum-插件,fastestmirror
第2步使用“yum Update”命令更新所有已安装的包
示例7 -使用yum更新所有已安装的包
root@atw-dogtag01 ~ #yum更新
加载插件:fastestmirror
确定最快的镜子
< <剪> >
交易汇总
================================================================================
安装4包(s)
升级104包(年代)
总下载大小:89米
这样行吗?
安装和配置NTP服务
证书需要严格的时间同步。建议使用网络时间协议(NTP)来确保证书颁发机构上的时间是准确的。默认情况下,没有安装NTP服务(又名:NTP守护进程),只有最小的Fedora 15安装,因此我们将使用yum来安装它。
- 使用"yum安装国家结核控制规划“命令
- 使用“chkconfig ntpd上命令,以确保ntp守护进程在引导时启动
- 使用ntpdatentp_server_ip_address命令同步到NTP源
- 确保服务以“ntpd开始“命令
示例8—安装、同步和启动NTP
root@atw-dogtag01 ~ #yum安装国家结核控制规划
root@atw-dogtag01 ~ #
<跨度>的 chkconfig的NTPD上root@atw-dogtag01 ~ #用ntpdate 172.25.73.1
ntpdate[11361]: step time server 172.25.73.1偏移量64.503042秒
root@atw-dogtag01 ~ #/etc/init.d/ntpd启动
启动ntpd(通过systemctl): [OK]
root@atw-dogtag01 ~ #
安装LDAP服务器
狗牌使用“目录服务器”一个开源的LDAP服务器来存储数据。在可以安装狗牌,目录服务器必须安装和准备。
步骤1安装LDAP服务器包,其中包含yum安装389 - ds“命令
步骤2创建一个名为“ds389”的新用户,供目录服务器使用
示例9—安装目录服务器并创建服务帐户
root@atw-dogtag01 ~ #yum安装389 - ds
root@atw-dogtag01 ~ #useradd ds389
方法启动目录服务器配置向导setup-ds.pl脚本位于/usr/sbing/setup-ds.pl
示例10 -启动安装脚本
root@atw-dogtag01 ~ #/usr/sbin/setup-ds.pl
4 .接受默认值。当您到达向导询问系统用户的部分时,您将需要将默认值(nobody)更改为ds389用户。也可以对组使用ds389,如示例- 11所示
示例11—将系统用户和组设置为ds389
==============================================================================
服务器必须作为特定组中的特定用户运行。
强烈建议该用户不应有任何特权
在计算机上(即非根用户)。设置过程
会给这个用户/组一些特定路径/文件的权限吗
执行特定于服务器的操作。
如果还没有为服务器创建用户和组,
使用本机操作创建此用户和组
系统实用程序。
系统用户(人):ds389
系统组(没人):ds389
步骤5设置目录管理器的密码
示例12 -设置目录管理器密码和成功消息
目录管理员DN [CN =目录管理器]:
密码:
密码(确认):
成功创建了新的DS实例' atw-dogtag01 '。
退出…
日志文件为' /tmp/ setupo0vx6 . Log '
安装PHP服务
步骤1使用yum安装php,如示例13所示
实施例13 - 用安装PHP荫
root@atw-dogtag01 ~ #yum安装php
设置安装过程
解析相关性
- >运行的事务检查
php - >包。i686 0:5.3.13 fc15——1.will be installed
- >处理依赖性:php-common(x86-32) = 5.3.13-1。包装fc15: php-5.3.13-1.fc15.i686
- >处理依赖性:php-cli(x86-32) = 5.3.13-1。包装fc15: php-5.3.13-1.fc15.i686
- >运行的事务检查
php cli - >包。i686 0:5.3.13-1。将安装fc15
- >包php-common。i686 0:5.3.13 fc15——1.will be installed
- >完成依赖解析
依赖性解析
================================================================================
打包Arch版本存储库大小
================================================================================
安装:
php i686 5.3.13-1。fc15更新1.1 M
安装的依赖关系:
PHP-CLI i686的5.3.13-1.fc15更新的2.2M
php-common i686 5.3.13-1。fc15更新547 k
交易汇总
================================================================================
安装3包(S)
总下载大小:3.9米
安装尺寸:13米
这样行吗
下载包:
运行的事务
安装:php -常见5.3.13 fc15——1.。i686 1/3
安装:PHP-CLI-5.3.13-1.fc15.i686 2/3
安装:php - 5.3.13 fc15——1.。i686 3/3
安装:
php.i686 0:5.3.13-1.fc15
依赖安装:
php cli。i686 0:5.3.13 fc15——1.php-common.i686 0:5.3.13-1.fc15
完成了!
root@atw-dogtag01 ~ #
第2步启动Apache(httpd的)和目录服务器(dirsrv)服务和配置实例4中看到他们开始在启动时
示例14 -启动apache和目录服务器服务
root@atw-dogtag01 ~ #服务httpd start
开始的httpd(通过systemctl):[OK]
root@atw-dogtag01 ~ #服务dirsrv开始
开始dirsrv:
ATW-dogtag01 ......已经在运行[OK]
root@atw-dogtag01 ~ #chkconfig dirsrv上
root@atw-dogtag01 ~ #chkconfig httpd上
root@atw-dogtag01 ~ #
安装DogTag
步骤1安装DogTag与yum安装pki-ca命令与实施例15中所看到的
实施例15 - 在安装狗牌
root@atw-dogtag01 ~ #yum安装pki-ca
设置安装过程
解析相关性
- >运行的事务检查
- >包pki-ca。noarch 0:9.0.20-1。将安装fc15
- >处理依赖性:pki-selinux = 9.0.20-1。包装fc15: pki-ca-9.0.20-1.fc15.noarch
- >处理相关性:PKI-常见= 9.0.20-1.fc15为包:PKI-CA-9.0.20-1.fc15.noarch
- >处理依赖性:pki-ca-theme包>= 9.0.0:pki-ca-9.0.20-1.fc15.noarch
- >运行的事务检查
- >包dogtag-pki-ca-theme。noarch 0:9.0.11-1。将安装fc15
- >处理依赖性:dogtag-pki-common-theme = 9.0.11-1。包装:dogtag-pki-ca-theme-9.0.11-1.fc15.noarch
- >包pki-common。noarch 0:9.0.20-1。将安装fc15
修改防火墙规则(IPTables)
为了连接到过程3中使用的端口上的DogTag服务,必须修改Linux服务器的主机防火墙(iptables)以允许连接。由于这不是一个iptables文档,并且为了保持简单,让我们关闭iptables。
1 .使用"iptables停止服务“命令
第2步保持防火墙从启动时的服务器启动的“chkconfig的iptables的关”命令。
示例16 -关闭防火墙
服务iptables停止
停止iptables(通过systemctl): [OK]
iptables off
root@atw-dogtag01 ~ #
创建一个新的CA实例
既然已经安装DogDag,你需要创建一个新的证书颁发机构的实例。下面是使用我们宁愿使用的端口。你可以改变任何参数在下面的章节适合您的组织的需求。
属性创建pki实例pkicreate带有以下选项的命令: