PKI mit FreeIPA

Den Ausweis, bitte!

Auch wenn Open-Source-Werkzeuge zum Verwalten von X.509-Zertifikaten rar sind, steht doch mit FreeIPA ein umfassendes Identity-Management-Framework bereit, mit dem sich sehr leicht eine Public-Key-Infrastruktur aufbauen lässt. Die Administration erfolgt anschließend wahlweise über ein Webfrontend oder mit Kommandozeilentools. Wir zeigen Installation und Konfiguration des Framework.
Firmen stecken in einer Zwickmühle: Einerseits verschärfen die Gesetzgeber in Deutschland und Europa laufend die Anforderungen an die Datensicherheit und den ... (mehr)

FreeIPA [1] ist das Upstream-Projekt zum in Red Hat Enterprise Linux (RHEL) enthaltenen Identity Management (IdM). Wenn wir im Folgenden von IPA sprechen, meinem wir damit sowohl Free-IPA als auch das in RHEL enthaltene Identity Management. Wie der Name schon vermuten lässt, geht es bei IPA um die Verwaltung von Identitäten und Policies an einem zentralen Ort. Hierfür setzt das Projekt den LDAP-Server "389-ds" ein, der als Backend für alle Daten dient, die das Framework verwaltet. Neben der Passwort-basierten Authentifizierung unterstützt IdM auch Kerberos und X.509-Zertifikate. Als Kerberos-Software kommt die Implementierung des MIT zum Einsatz, X.509-Zertifikate verwalten wir innerhalb einer eigenen Public-Key-Infrastruktur (PKI) auf Basis von Dogtag.

Die in diesem Artikel verwendeten Beispiele basieren alle auf dem aktuellen Red Hat Enterprise Linux 8, funktionieren aber auch mit FreeIPA ab Version 4.7.x als Teil von Fedora, CentOS oder einer anderen, auf Red Hat basierenden Linux-Distribution.

Dogtag stellt als Java-Applikation innerhalb von Tomcat verschiedene PKI-Dienste zur Verfügung. Dazu zählen eine Certificate Authority (CA) zum Signieren und Veröffentlichen von X.509-Zertifikaten, eine Key Recovery Authority (KRA) als Escrow-System und Services, mit denen sich der Status eines Zertifikates mit Hilfe von Certificate Revocation Lists (CRL) und des Online Certificate Status Protocol (OCSP) überprüfen lässt. Die Certificate Authority lässt sich wahlweise als root-CA mit einer selbst-signierten CA oder aber als Subordinate-CA zu einer bereits vorhandenen CA einrichten. Das IPA-Framework stellt mit "certmonger" [2] auch einen Client-Service zur Verfügung, der hilft, Zertifikate automatisch zu erneuern, bevor diese ablaufen.

PKI installieren

Wir betrachten im Folgenden das Setup und das Management der PKI-Komponenten einer IPA-Installation.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020