的意见

使用ISE 1.2的DogTag CA

使用思科的身份服务引擎1.2和较新的Dogtag CA细分。

Dog Tag是一类企业级开源证书颁发机构,红帽从AOL购买于2004年。Red Hat在2008年向开源社区开放。Dog标签支持证书生命周期管理的所有方面,包括密钥档案,OCSP和智能卡管理等等。

最重要的是,它是一个可用的CA,已测试使用思科的BYOD解决方案使用思科的身份服务引擎1.2及更新。

注意:DogTag还有一个企业级版本,被称为红帽证书系统。

在我们继续之前,我得先向Vivek Santuka世卫组织在工作中原型和开创了这一举措。还有一个呼叫布莱恩Sak更新维维克所做的工作

先决条件

狗标签将运行在大多数红帽变种。就本文档而言,我们将重点关注Fedora Core 15(32位)。这是已知的工作版本,并已通过ISE 1.2测试。这个版本的Fedora可以用最小的选项安装,并将利用Apache web服务器、PHP和开放源码目录服务器。

安装32位Fedora 15

步骤1:使用32位的Fedora 15 ISO文件或DVD启动机器:

http://dl.fedoraproject.org/pub/fedora/linux/releases/15/Fedora/i386/iso/

步骤2:选择“安装系统与基本视频驱动程序”

安装屏幕 亚伦Woland

图1 - 安装屏幕

这个用例只需要“最小”安装类型。

最小的 亚伦Woland

图2 -最小安装

接受其余安装的默认选择

配置网络

证书颁发机构应该有一个静态IP地址,以确保通信始终是最佳的。安装向导中有一个组件允许您在完成安装之前配置网络。但是,大多数情况下,这些设置似乎没有得到维护,并且当Fedora操作系统完全安装时,没有分配IP地址,如图3所示。

注意:假设您以“root”身份登录以执行本文档中的活动。如果没有,使用"苏 -"命令将您的登录上下文更改为超级用户(root)。

安装完成后,请确认是否存在IP地址。使用ifconfig eth0命令。图3显示了没有配置IP Address时的结果。

没有IP地址 亚伦Woland

图3 - 没有IP地址

使用您喜欢的编辑器,编辑ifcfg-eth0文件,为接口设置网络堆栈。

示例-1:编辑IFCFG-eth0文件

root@atw-dogtag01 ~ #vi /etc/sysconfig/network-scripts /根据

  • 使用IFCFG-eth0文件打开,请确保OnBoot选项设置为“是”。这是确保系统重新启动时的界面将会打开。
  • 确保BOOTPROTO选项设置为“none”。配置接口使用静态IP地址。
  • 将ipaddr选项设置为服务器的所需IP地址,以及NetMask是该IP地址的子网掩码。
  • DNS1和DNS2选项可以用来将服务器指向正确的DNS服务器。
  • 使用Gateway选项指定Default-Gateway的IP地址。

example-2下面显示了配置的ifcfg-eth0文件的详细信息:

例2:已配置的ifcfg-eth0文件

root@atw-dogtag01 ~ #猫/etc/sysconfig/network-scripts /根据

设备= " eth0 "

公元前HWADDR = " 00:50:56: B8:: 08年”

ONBOOT = "是的"

nm_controlled =“是”

BOOTPROTO =没有

IPADDR = 10.1.100.229

子网掩码为255.255.255.0

UserCtl =是的

type =以太网

DNS1 = 10.1.100.103

网关= 10.1.100.1

确保网络在启动时使用“chkconfig网络“ 命令。

示例3:确保网络在启动时启动,并重新启动服务

root@atw-dogtag01 ~ #chkconfig网络

root@atw-dogtag01 ~ #服务网络重启

使用yum安装软件包

Fedora使用一个名为“yum”的软件包管理器来管理操作系统中安装的软件包。Yum提供了识别依赖项并帮助管理应用程序和所有应用程序依赖项的安装的优势。看到http://fedoraproject.org/wiki/Yum有关百胜的更多。

我们将使用yum将这个Fedora 15服务器更新为最新的软件包,并安装所需的应用程序,如NTP。

配置代理(如果需要)

用于编写本文档的设置需要代理服务器来访问Internet。因此包括此程序。如果您的环境不需要代理访问Internet,请转至步骤2。

步骤1使用您喜欢的文本编辑器编辑位于/etc/yum.conf的yum配置文件

示例4 - 编辑yum配置文件

root@atw-dogtag01 ~ #vi /etc/yum.conf

步骤2添加一行for,输入“proxy=”,然后输入代理服务器的URL和端口

例5 -完成yum.conf文件

root@atw-dogtag01 ~ #猫/etc/yum.conf

(主要)

cachedir = / var /缓存/百胜/ basearch / releasever美元

keepcache = 0

debuglevel = 2

日志文件= / var / log / yum.log

exactarch = 1

Obsoletes = 1

gpgcheck = 1

插件= 1

Installonly_limit = 3.

代理= http://proxy.esl.cisco.com: 8080

用yum更新系统

步骤1添加yum插件来选择最快的下载位置。这个插件在写这篇论文的过程中节省了几个小时。

例6 -安装最快的镜像插件

root@atw-dogtag01 ~ #yum安装yum-plugin-fastestmirror

步骤2使用yum Update命令更新所有已安装的软件包

例7 -用yum更新所有已安装的软件包

root@atw-dogtag01 ~ #yum更新

加载插件:fastestmirror

确定最快的镜子

< <剪> >

交易汇总

================================================================================.

安装4包(s)

升级104包(年代)

总下载大小:89 M

[y/N]:

安装和配置NTP服务

证书需要严格的时间同步。建议使用NTP (network time protocol),以确保证书颁发机构的时间准确。在Fedora 15的最小安装中,默认情况下没有安装NTP服务(又名:NTP守护进程),因此我们将使用yum来安装它。

  1. 使用“”安装NTP服务yum安装国家结核控制规划“命令
  2. 使用“chkconfig ntpd上命令确保NTP守护进程在启动时启动
  3. 使用ntpdatentp_server_ip_address.命令同步到NTP源
  4. 确保使用“”启动服务。ntpd开始“命令

例8 -安装、同步和启动NTP

root@atw-dogtag01 ~ #yum安装国家结核控制规划

root@atw-dogtag01 ~ # chkconfig ntpd

root@atw-dogtag01 ~ #NTPDate 172.25.73.1.

31 Jul 13:47:44 ntpdate[11361]: step time server 172.25.73.1 offset 64.503042 sec . / /步骤时间服务器

root@atw-dogtag01 ~ #/etc/init.d/ntpd启动

启动ntpd(通过systemctl): [OK]

root@atw-dogtag01 ~ #

安装LDAP服务器

Dog Tag使用名为“Directory Server”的开源LDAP服务器来存储其数据。在安装Dog Tag之前,必须安装并准备目录服务器。

步骤1安装LDAP服务器包。yum安装389 - ds“命令

步骤2创建目录服务器使用的名为“ds389”的新用户

例9—安装目录服务器并创建服务帐户

root@atw-dogtag01 ~ #yum安装389 - ds

root@atw-dogtag01 ~ #useradd ds389

步骤3使用setup-ds.pl.位于/usr/sbing/setup-ds中的脚本

例10 -启动安装脚本

root@atw-dogtag01 ~ #/usr/sbin/setup-ds.pl

步骤4接受默认值。一旦您到达向导要求系统用户的部分,您将需要将默认用户(nobody)更改为ds389用户。也可以使用ds389作为组,如例- 11所示

例11 -设置系统用户和组为ds389

==============================================================================.

服务器必须作为特定组中的特定用户运行。

强烈建议此用户不拥有任何特权

在计算机上(即非根用户)。设置过程

会给这个用户/组一些特定路径/文件的权限吗

执行特定于服务器的操作。

如果您还没有为服务器创建用户和组,

使用本机操作创建此用户和组

系统实用程序。

系统用户(人):ds389

系统组(没人):ds389

步骤5设置目录管理器的密码

示例12 -设置目录管理器密码和成功消息

Directory Manager DN [CN = Directory Manager]:

密码:

密码(确认):

成功创建了新的DS实例' atw-dogtag01 '

退出……

日志文件是/tmp/setupo0Vx6g.log

安装PHP服务

步骤1使用yum安装php,如例13所示

示例13 - 用yum安装php

root@atw-dogtag01 ~ #yum安装php

设置安装过程

解决依赖项

- >运行事务检查

php - >包。i686 0:5.3.13 fc15——1.will be installed

—>处理依赖:php-common(x86-32) = 5.3.13-1。Fc15 for package: php-5.3.13-1.fc15.i686

—>处理依赖:php-cli(x86-32) = 5.3.13-1。Fc15 for package: php-5.3.13-1.fc15.i686

- >运行事务检查

php cli - >包。i686 0:5.3.13-1。Fc15将被安装

- >包php-common。i686 0:5.3.13 fc15——1.will be installed

- >完成依赖解析

依赖性解析

================================================================================.

包拱版本库大小

================================================================================.

安装:

php i686 5.3.13-1。fc15更新1.1 M

安装的依赖关系:

PHP-CLI I686 5.3.13-1.FC15更新2.2米

php-common i686 5.3.13-1。Fc15更新547 k

交易汇总

================================================================================.

安装3包装

总下载大小:3.9 M

安装尺寸:13米

[y/N]: y可以吗

下载包:

运行的事务

安装:php -常见5.3.13 fc15——1.。i686 1/3

安装:php-cli-5.3.13-1.fc15.i686 2/3

安装:php - 5.3.13 fc15——1.。i686 3/3

安装:

PHP.I686 0:5.3.13-1.FC15

依赖安装:

php cli。i686 0:5.3.13 fc15——1.php-common.i686 0:5.3.13-1.fc15

完成了!

root@atw-dogtag01 ~ #

步骤2启动“apache (httpd)”和“Directory Server (dirsrv)”服务,并设置为“开机即启动”,示例4

例14 -启动apache和目录服务器服务

root@atw-dogtag01 ~ #服务httpd start

启动httpd(通过systemctl):[确定]

root@atw-dogtag01 ~ #服务dirsrv开始

开始dirsrv:

ATW-DOGTAG01 ...已经运行[OK]

root@atw-dogtag01 ~ #chkconfig dirsrv上

root@atw-dogtag01 ~ #chkconfig httpd上

root@atw-dogtag01 ~ #

安装DogTag

步骤1安装带有yum安装pki-ca命令如实施例15所示

示例15 - 安装Dogtag

root@atw-dogtag01 ~ #yum安装pki-ca

设置安装过程

解决依赖项

- >运行事务检查

- >包pki-ca。noarch 0:9.0.20-1。Fc15将被安装

—>处理依赖关系:pki-selinux = 9.0.20-1。Fc15 for package: pki-ca-9.0.20-1.fc15.noarch

- >处理依赖项:pki-common = 9.0.20-1.fc15包装:pki-ca-9.0.20-1.fc15.noarch

- > Processing Dependency: pki-ca-theme >= 9.0.0 for package

- >运行事务检查

- >包dogtag-pki-ca-theme。noarch 0:9.0.11-1。Fc15将被安装

—>处理依赖:dogtag-pki-common-theme = 9.0.11-1。Fc15 for package: dogtag-pki-ca-theme-9.0.11-1.fc15.noarch

- >包pki-common。noarch 0:9.0.20-1。Fc15将被安装

修改防火墙规则(IPTables)

为了在过程3中使用的端口上连接到DogTag服务,必须修改Linux服务器的主机防火墙(iptables)以允许连接。因为这不是一个iptables文档,为了简单起见,我们关闭iptables。

步骤1使用“”停止防火墙服务。iptables停止服务“命令

步骤2将防火墙从Server启动的“chkconfig iptables关闭“ 命令。

例16 -关闭防火墙

[root@atw-dogtag01 ~]# service iptables stop

停止iptables(通过systemctl): [OK]

[root@atw-dogtag01 ~]#设置iptables关闭

root@atw-dogtag01 ~ #

创建新的CA实例

既然安装了DogDag,则需要创建新的证书颁发机构实例。以下是使用我们希望使用的端口。您可以更改以下部分中的任何参数,以满足组织的需求。

操作步骤步骤1使用pkicreate使用以下选项命令:

相关:
12 第1页
第1页共2页
IT薪水调查2021:结果已经出来了