Все пользователи в коробочном битриксе импортируются из Active Directory. Т.е. битрикс ничего не знает о паролях пользователя, и поэтому проксирует запросы авторизации на контроллер домена в данный момент по протоколу LDAP. Верно?
Соответственно чтобы перевести это всё дело с LDAP, где логины и пароли ходят в открытом виде, на LDAPS, если я правильно всё понимаю, нужно:
1. На BitrixVM сгенерировать запрос на выдачу сертификата. Это я сделал, вот так:
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = UA
ST = City
L = City
O = Company
OU = Company
CN = srv-bitrix-01 //хостнейм BitrixVM
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = srv-bitrix-01 //хостнейм BitrixVM
DNS.2 = bitrix.company.ua //имя по которому пользователи ходят на сайт, скорее всего не нужно но пусть будет
DNS.3 = srv-bitrix-01.office.company.ua //FQDN, office.company.ua - внутренний домен
В результате получаем bitrixrequest.csr (запрос в центре сертификации который нужно далее подписать) и bitrixprivate.key (приватный ключ).
2. Загрузить в центр сертификации запрос (bitrixrequest.csr) и подписать его. На выходе я получил возможность скачать два файла - srv-bitrix.01.cer (сертификат выданный из центром на конкретный хостнейм) и srv-bitrix-01-chain.p7b - насколько я понимаю это контейнер с двумя сертификатами внутри - центр сертификации + тот хостнейм на который был запрос). Не знаю какой именно нужен, подозреваю что оба, потому скачал оба.
3. Оба файла закинул в папку /etc/ssl/certs/ в папку srv-bitrix-01
4. И вот тут я споткнулся. Дальше вроде как мне нужно импортировать либо отдельно srv-bitrix.01.cer + сертификат выдающего центра ЛИБО цепочку сертификатов srv-bitrix-01-chain.p7b. Но я не знаю какой из двух вариантов и как (просто положить файл в папку то явно не достаточно). К тому же не понятно на каком этапе (и нужно ли вообще) использовать приватный ключ. И при всем при этом, вроде как, линухи не особо дружат с "виндовым" форматом *.p7b, и нужно конвертировать в *.pem?
Подскажите как всё это сделать? И какие дальнейшие шаги настройки BitrixVM для работы по LDAPS, если что-то ещё нужно сделать?
Максим, добрый день. BitrixVM работает в связке с LDAPS, проверяли, правда давно. По сути да, создаете сертификаты, преобразовываете в нужные форматы (гугл в помощь материала много), серт центра сертификации (CA) добавляете в доверенные везде (опять же гугл все есть), настраиваете AD, запускаете роль ntlm в машине, настраиваем продукт - проверяем
Максим, проверили работу связки VMBitrix + LDAPS - проблем нет. Шаги примерно как выше, разобраться с сертификатами, плюс включить LDAPS на AD, сделать тестовый коннект к AD в админке сайта. Все)