Для JIRA используем acme.sh.
Лежит в /root/.acme.sh.
CSR генерируем и заливаем по этой статье.
Создаем папку с именем домена в ~root/.acme.sh.
Сначала пересоздаем контейнер(старый предварительно удаляем).
#keytool -genkey -keysize 2048 -keyalg RSA -alias tomcat -keystore /home/jira/keystore
Для report используем acme.sh в DNS режиме с другого сервера (radius).
CSR генерируем там же, RHEL4 не умеет в SHA-2.
#openssl req -nodes -newkey rsa:2048 -keyout rep.key -out rep.csr
#./acme.sh --dns --signcsr --csr rep.csr --log
#./acme.sh --renew -d rep.directcall.ru
Перенести CA и личный сертификаты, а так же ключ в /etc/httpd/conf/cert на report.
Update: Для clients используем apache mode:
# ./acme.sh --issue --apache -d mydomen.ru
Update2:
Для тикетинга тоже используем DNS-режим.
#rm /home/jira/keystore
#keytool -genkey -keysize 2048 -keyalg RSA -alias tomcat -keystore /home/jira/keystore
#keytool -certreq -alias tomcat -keyalg RSA -file certreq.csr -keystore /home/jira/keystore
#scp certreq.csr на радиус
Удаляем слово NEW из хидера и футера certreq.csr!
#./acme.sh --dns --signcsr --csr certreq.csr --log
#scp ca.cer fullchain.cer на JIRA
#keytool -import -alias rootca -file ca.cer -keystore /home/jira/keystore
#keytool -importcert -alias tomcat -file fullchain.cer -keystore /home/jira/keystore
Update3:
Ручной режим с аутентификацией через выкладывание файла на хостинг доступен в CertBot.
Тикетинг можно прямо с сервера, acme.sh в standalone режиме.
Лежит в /root/.acme.sh.
CSR генерируем и заливаем по этой статье.
Создаем папку с именем домена в ~root/.acme.sh.
Сначала пересоздаем контейнер(старый предварительно удаляем).
#keytool -genkey -keysize 2048 -keyalg RSA -alias tomcat -keystore /home/jira/keystore
Генерируем CSR
#keytool -certreq -alias tomcat -keyalg RSA -file certreq.csr -keystore /home/jira/keystore
Кладем certreq.csr в созданную папку.
Подписываем сертификат из CSR.
#acme.sh --signcsr --csr /root/.acme.sh/домен/certreq.csr -w /root/.acme.sh/домен
Импортируем в контейнер сертификат CA
#keytool -import -tructcacert -alias rootca -file /root/.acme.sh/домен/ca.cer -keystore /home/jira/keystore
Импортируем личный сертификат (полную цепочку!)
#keytool -importcert -alias tomcat -file /root/.acme.sh/домен/fullchain.cer -keystore /home/jira/keystore
Алиас должен быть такой же, как при создании контейнера!
Проверяем сертификаты командой
#keytool -list -keystore /home/jira/keystoreДля report используем acme.sh в DNS режиме с другого сервера (radius).
CSR генерируем там же, RHEL4 не умеет в SHA-2.
#openssl req -nodes -newkey rsa:2048 -keyout rep.key -out rep.csr
#./acme.sh --dns --signcsr --csr rep.csr --log
#./acme.sh --renew -d rep.directcall.ru
Перенести CA и личный сертификаты, а так же ключ в /etc/httpd/conf/cert на report.
Update: Для clients используем apache mode:
# ./acme.sh --issue --apache -d mydomen.ru
Update2:
Для тикетинга тоже используем DNS-режим.
#rm /home/jira/keystore
#keytool -genkey -keysize 2048 -keyalg RSA -alias tomcat -keystore /home/jira/keystore
#keytool -certreq -alias tomcat -keyalg RSA -file certreq.csr -keystore /home/jira/keystore
#scp certreq.csr на радиус
Удаляем слово NEW из хидера и футера certreq.csr!
#./acme.sh --dns --signcsr --csr certreq.csr --log
#scp ca.cer fullchain.cer на JIRA
#keytool -import -alias rootca -file ca.cer -keystore /home/jira/keystore
#keytool -importcert -alias tomcat -file fullchain.cer -keystore /home/jira/keystore
Update3:
Ручной режим с аутентификацией через выкладывание файла на хостинг доступен в CertBot.
Тикетинг можно прямо с сервера, acme.sh в standalone режиме.
Комментариев нет:
Отправить комментарий