Apache и сертификаты из Active Directory

Для работы защищенного протокола SSL необходимо что бы на веб-сервере имелся SSL-сертификат, для аутентификации сервера клиентом. Если этот сервер расположен в пределах Active Directory желательно использовать сертификат выданный доменным центром сертификации. Корневой сертификат этого ЦС автоматически уже установлен на всех доменных компьютерах.

Приведенный ниже способ вполне подходит для изготовления SSL-сертификатов для веб-серверов Apache, оборудования Zyxel или DLink. В примере используются:

dc-srv.mydomain.local – Windows Server 2003, контроллер домена MYDOMAIN.LOCAL, на нем же располагается центр сертификации и “служба подачи заявок на сертификат через интернет”.

web-srv.mydomain.local – CentOS 6.0, web-сервер Apache на котором располагается хотя бы один виртуальный хост с поддержкой SSL.

1. Запрос к ЦС

Подключаемся к web-серверу (web-srv.mydomain.local) и создаем запрос на выдачу сертификата:

[root@localhost ~]# openssl req -new -newkey rsa:1024 -nodes -keyout web-srv.key -out web-srv.req -subj "/CN=web-srv.mydomain.local/OU=mydomain.local/O=MyCompany/C=RU/ST=Russia/L=Moscow"
Generating a 1024 bit RSA private key
.........++++++
...++++++
writing new private key to 'web-srv.key'
-----

Параметры:

web-srv.key - ключ web-сервера
web-srv.req - запрос на сертификат в кодировке Base64
CN - имя по которому мы будем обращаться к web-серверу
OU - имя домена Active Directory
O  - название корневого центра сертификации
ST - страна
L - населенный пункт

2. Обрабатываем запрос сертификата

Открываем окне браузера ссылку http://dc-srv.mydomain.local/certsrv/ – web-форма для запроса сертификата Active Directory; и выбираем “Запрос сертификата”:

Далее выбираем “расширенный запрос сертификата”

Выбираем “Выдать запрос, используя base-64 шифрованный файл PKCS #10, или выдать запрос обновления, используя base-64 шифрованный файл PKCS #7″

В окно “Сохранный запрос” переносим содержимое созданного ранее файла web-srv.req; “Шаблон сертификата” выбираем “Веб-сервер” и нажимаем “Выдать”.

На последней странице выбираем “DER-шифрование” и “Загрузить сертификат”.

3. Конвертируем и устанавливаем сертификат

Загруженный сертификат certnew.cer нужно передать на веб-сервер любым удобным способом и положить в папку /root. Конвертируем сертификат из DER в формат PEM:

[root@localhost ~]# openssl x509 -in certnew.cer -inform DER -out web-srv.pem -outform PEM

Переносим файлы сертификата и ключа в предназначенные для них папки:

[root@localhost ~]# mv web-srv.key /etc/pki/tls/private/
[root@localhost ~]# mv web-srv.pem /etc/pki/tls/certs/

В случае использования запрещающего режима SELinux восстанавливаем контекст в папках с новыми ключем и сетрификатом:

[root@localhost ~]# restorecon -v -R /etc/pki/tls/certs/
restorecon reset /etc/pki/tls/certs/web-srv.pem context unconfined_u:object_r:admin_home_t:s0->system_u:object_r:cert_t:s0
[root@localhost ~]# restorecon -v -R /etc/pki/tls/private
restorecon reset /etc/pki/tls/private/web-srv.key context unconfined_u:object_r:admin_home_t:s0->system_u:object_r:cert_t:s0

В конфигурационных файлах apache, внутри нужного виртуального хоста с включенным SSL, меняем значение параметров:

SSLCertificateFile /etc/pki/tls/certs/web-srv.pem
SSLCertificateKeyFile /etc/pki/tls/private/web-srv.key

В моем случае сертификат относится к дефолтному хосту, теперь переходим по ссылке https://web-srv.mydomain.local.
Просматриваем сертификат:

Ура, сертификат действителен и выдан доменным удостоверяющим центром MyCompany.