Процедурата за инсталиране и конфигуриране на шамар, както и останалото от посоченото в предходните два члена, с изключение на генерирането на сертификатите, е валидно за Wheezy.
Ще използваме конзолния стил най-вече, тъй като става въпрос за конзолни команди. Оставяме всички изходи, за да придобием яснота и можем да прочетем внимателно кои съобщения ни връща процесът, които иначе почти никога не четем внимателно.
Най-голямото внимание, което трябва да имаме, е, когато ни питат:
Общо име (напр. FQDN на сървъра или ВАШЕТО име) []:mildap.amigos.cu
и трябва да напишем FQDN от нашия LDAP сървър, който в нашия случай е mildap.amigos.cu. В противен случай сертификатът няма да работи правилно.
За да получим сертификатите, ще следваме следната процедура:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca Име на файл на CA сертификат (или въведете за създаване) Създаване на CA сертификат ... Генериране на 2048 битов RSA частен ключ ................ +++ ......... ........................... +++ писане на нов частен ключ към './demoCA/private/./cakey.pem' Въведете PEM пропуск фраза:Xeon Проверка - Въведете PEM пропуск фраза:xeon ----- Предстои ви да бъдете помолени да въведете информация, която ще бъде включена в заявката ви за сертификат. Това, което ще въведете, е това, което се нарича отличено име или DN. Има доста полета, но можете да оставите някои празни. За някои полета ще има стойност по подразбиране, Ако въведете „.“, Полето ще остане празно. ----- Име на държава (двубуквен код) [AU]:CU Име на щат или провинция (пълно име) [Някои държави]:Habana Име на местността (напр. Град) []:Habana Име на организацията (например фирма) [Internet Widgits Pty Ltd]:Фрийкс Име на организационното звено (напр. Раздел) []:Фрийкс Общо име (напр. FQDN на сървъра или ВАШЕТО име) []:mildap.amigos.cu Имейл адрес []:frodo@amigos.cu Моля, въведете следните „допълнителни“ атрибути, които да бъдат изпратени заедно със заявката ви за сертификат Парола за предизвикателство []:Xeon Незадължително име на фирма []:Freekes Използване на конфигурация от /usr/lib/ssl/openssl.cnf Въведете парола за ./demoCA/private/./cakey.pem:xeon Проверете дали заявката съвпада с подписа Подпис ok Подробности за сертификата: Сериен номер: bb: 9c: 1b: 72: a7: 1d: d1: e1 Валидност Не преди: 21 ноември 05:23:50 2013 GMT Не след: 20 ноември 05 : 23: 50 2016 GMT Тема: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 разширения: X509v3 Идентификатор на ключовия предмет: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Идентификатор на ключов орган: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Основни ограничения: CA: TRUE Сертификатът трябва да бъде сертифициран до 20 ноември 05:23:50 2016 GMT ( 1095 дни) Изпишете база данни с 1 нови записа Актуализирана база данни ###################################### ##################################################### #################################################### ##### : ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem Генериране на 2048 битов RSA частен ключ ......... +++ ............................... ............ +++ писане на нов частен ключ в 'newreq.pem' ----- Предстои ви да бъдете помолени да въведете информация, която ще бъде включена в заявката ви за сертификат. Това, което ще въведете, е това, което се нарича отличено име или DN. Има доста полета, но можете да оставите някои празни. За някои полета ще има стойност по подразбиране, Ако въведете '.', Полето ще остане празно. ----- Име на държава (двубуквен код) [AU]:CU Име на щат или провинция (пълно име) [Някои държави]:Habana Име на местността (напр. Град) []:Habana Име на организацията (например фирма) [Internet Widgits Pty Ltd]:Фрийкс Име на организационното звено (напр. Раздел) []:Фрийкс Общо име (напр. FQDN на сървъра или ВАШЕТО име) []:mildap.amigos.cu Имейл адрес []:frodo@amigos.cu Моля, въведете следните „допълнителни“ атрибути, които да бъдат изпратени заедно със заявката ви за сертификат Парола за предизвикателство []:Xeon Незадължително име на фирма []:Freekes ################################################### ##################################################### ############################################### : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Използване на конфигурация от /usr/lib/ssl/openssl.cnf Въведете парола за ./demoCA/private/cakey.pem:xeon Проверете дали заявката съвпада с подписа Подпис ok Подробности за сертификата: Сериен номер: bb: 9c: 1b: 72: a7: 1d: d1: e2 Валидност Не преди: 21 ноември 05:27:52 2013 GMT Не след: 21 ноември 05 : 27: 52 2014 Тема: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizacijskoUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 разширения: X509v3 Основни ограничения: CA: FALSE Идентификатор на предметния ключ на OpenSSL, генериран X509v3: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 Ключ за управление на X509v3 Идентификатор: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Сертификатът трябва да бъде сертифициран до ноември 21 05:27:52 2014 GMT (365 дни) Подпишете сертификата? [г / н]:y 1 от 1 заявки за сертификат са сертифицирани, ангажиране? [г / н]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTeCerFeTec / oltifTeCerCeCTeC / TIFFCerCeCTeC / TIFFCerCeTeC / TIFFCSC / TFC и т.н. /mildap-key.pem : ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude инсталирайте ssl-cert : ~ / myca # adduser openldap ssl-cert Добавяне на потребител `openldap 'към група` ssl-cert' ... Добавяне на потребител openldap към група ssl-cert Готово. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod или /etc/ssl/private/mildap-key.pem : ~ / myca # рестартиране на услугата slapd [ок] Спиране на OpenLDAP: slapd. [ok] Стартиране на OpenLDAP: slapd. : ~ / myca # tail / var / log / syslog
С това обяснение и предходните статии вече можем да използваме Wheezy като операционна система за нашата услуга Directory.
Продължете с нас в следващата вноска !!!.
Как да поставя този тип сертификат или https на уебсайта? без да прибягвате до компания, организация или външна страница
Какви други приложения има вашият сертификат?
В примера файлът cacert.pem на сертификата е да активира криптиран комуникационен канал между клиента и сървъра, или на самия сървър, където имаме OpenLDAP, или на клиент, който се удостоверява срещу Директорията.
На сървъра и на клиента трябва да декларирате местоположението им във файла /etc/ldap/ldap.conf, както е обяснено в предишната статия:
/Etc/ldap/ldap.conf файл
BASE dc = приятели, dc = cu
URI ldap: //mildap.amigos.cu
# SIZELIMIT 12
# TIMELIMIT 15
#DEREF никога
# TLS сертификати (необходими за GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
Разбира се, в случая с клиента, трябва да копирате този файл в папката / etc / ssl / certs. От този момент нататък можете да използвате StartTLS за комуникация с LDAP сървъра. Препоръчвам ви да прочетете предходните статии.
поздрави
Благодарим Ви, че споделихте тази информация как да поправя връзки на Bluetooth аудио устройства в Windows 10