PKI mit FreeIPA

FreeIPA [1] ist das Upstream-Projekt zum in Red Hat Enterprise Linux (RHEL) enthaltenen Identity Management (IdM). Wenn wir im Folgenden von IPA sprechen, meinem wir damit sowohl Free-IPA als auch das in RHEL enthaltene Identity Management. Wie der Name schon vermuten lässt, geht es bei IPA um die Verwaltung von Identitäten und Policies an einem zentralen Ort. Hierfür setzt das Projekt den LDAP-Server "389-ds" ein, der als Backend für alle Daten dient, die das Framework verwaltet. Neben der Passwort-basierten Authentifizierung unterstützt IdM auch Kerberos und X.509-Zertifikate. Als Kerberos-Software kommt die Implementierung des MIT zum Einsatz, X.509-Zertifikate verwalten wir innerhalb einer eigenen Public-Key-Infrastruktur (PKI) auf Basis von Dogtag.

Die in diesem Artikel verwendeten Beispiele basieren alle auf dem aktuellen Red Hat Enterprise Linux 8, funktionieren aber auch mit FreeIPA ab Version 4.7.x als Teil von Fedora, CentOS oder einer anderen, auf Red Hat basierenden Linux-Distribution.

Dogtag stellt als Java-Applikation innerhalb von Tomcat verschiedene PKI-Dienste zur Verfügung. Dazu zählen eine Certificate Authority (CA) zum Signieren und Veröffentlichen von X.509-Zertifikaten, eine Key Recovery Authority (KRA) als Escrow-System und Services, mit denen sich der Status eines Zertifikates mit Hilfe von Certificate Revocation Lists (CRL) und des Online Certificate Status Protocol (OCSP) überprüfen lässt. Die Certificate Authority lässt sich wahlweise als root-CA mit einer selbst-signierten CA oder aber als Subordinate-CA zu einer bereits vorhandenen CA einrichten. Das IPA-Framework stellt mit "certmonger" [2] auch einen Client-Service zur Verfügung, der hilft, Zertifikate automatisch zu erneuern, bevor diese ablaufen.

PKI installieren

Wir betrachten im Folgenden das Setup und das Management der PKI-Komponenten einer IPA-Installation.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.