Usluga direktorija s OpenLDAP [6]: Certifikati u Debianu 7 “Wheezy”

Postupak instalacije i konfiguracije slapd, kao i ostatak onoga što je naznačeno u dva prethodna članka, osim generacije certifikata, vrijedi za Wheezy.

Stil konzole koristit ćemo uglavnom jer se radi o naredbama konzole. Ostavljamo sve izlaze kako bismo stekli jasnoću i mogli pažljivo pročitati koje nam se poruke proces vraća, a koje inače gotovo nikad ne čitamo pažljivo.

Najveća briga koju moramo imati je kada nas pitaju:

Uobičajeni naziv (npr. FQDN poslužitelja ili VAŠE ime) []:mildap.amigos.cu

i moramo napisati FQDN sa našeg LDAP servera, što je u našem slučaju mildap.amigos.cu. U suprotnom, certifikat neće raditi ispravno.

Da bismo dobili certifikate, slijedit ćemo slijedeći postupak:

: ~ # mkdir / root / myca
: ~ # cd / root / myca /
: ~ / myca # /usr/lib/ssl/misc/CA.sh -newca
Naziv datoteke CA certifikata (ili unesite za stvaranje) Izrada CA certifikata ... Generiranje 2048-bitnog RSA privatnog ključa ................ +++ ......... ........................... +++ pisanje novog privatnog ključa u './demoCA/private/./cakey.pem'
Unesite PEM pristupnu frazu:xeon
Provjera - Unesite PEM frazu:xeon ----- Od vas će se tražiti da unesete informacije koje će biti ugrađene u vaš zahtjev za certifikatom. Ono što ćete unijeti je ono što se naziva istaknuto ime ili DN. Postoji dosta polja, ali možete ostaviti neka prazna. Za neka polja bit će zadana vrijednost, Ako unesete '.', Polje će ostati prazno. -----
Naziv države (dvoslovni kod) [AU]:CU
Ime države ili provincije (puno ime) [Neke države]:Havana
Naziv mjesta (npr. Grad) []:Havana
Naziv organizacije (npr. Kompanije) [Internet Widgits Pty Ltd]:Freekes
Naziv organizacijske jedinice (npr. Odjeljak) []:Freekes
Uobičajeni naziv (npr. FQDN poslužitelja ili VAŠE ime) []:mildap.amigos.cu
E-mail adresa []:frodo@amigos.cu Molimo unesite sljedeće 'dodatne' atribute koji će se poslati uz zahtjev za certifikat
Lozinka izazova []:xeon
Neobavezno ime kompanije []:Freekes Korištenje konfiguracije iz /usr/lib/ssl/openssl.cnf
Unesite frazu za prosljeđivanje za ./demoCA/private/./cakey.pem:xeon Provjerite podudara li se zahtjev potpis Potpis ok Detalji detalja certifikata: Serijski broj: bb: 9c: 1b: 72: a7: 1d: d1: e1 Valjanost Ne prije: 21. 05. 23:50:2013 20. GMT Nakon: 05. 23. 50. : 2016: 509 3 GMT Predmet: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 proširenja: X79v3 Identifikator ključa subjekta: 2: B7: B47: F67: 92: 9: 8: 2F: 1A: C3: 1C: 68C: 4A: 6: FD: D7: F40: D9: 509: 3A X79v3 Identifikator ključa vlasti: keyid: 2: B7: B47: F67: 92: 9: 8: 2F: 1A: C3: 1C: 68C: 4A: 6: FD: D7: F40: D9: 509: 3A X20v05 Osnovna ograničenja: CA: TRUE certifikat treba ovjeriti do 23. novembra 50:2016:1095 1 GMT ( XNUMX dana) Napišite bazu podataka sa XNUMX novi unos Baza podataka ažurirana ###################################### ##################################################### #################################################### #####
: ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem
Generiranje 2048-bitnog RSA privatnog ključa ......... +++ ............................... ............ +++ pisanje novog privatnog ključa u 'newreq.pem' ----- Od vas će se tražiti da unesete informacije koje će biti ugrađene u vaš zahtjev za certifikatom. Ono što ćete unijeti je ono što se naziva istaknuto ime ili DN. Postoji dosta polja, ali možete ostaviti neka prazna. Za neka polja bit će zadana vrijednost, Ako unesete '.', Polje će ostati prazno. -----
Naziv države (dvoslovni kod) [AU]:CU
Ime države ili provincije (puno ime) [Neke države]:Havana
Naziv mjesta (npr. Grad) []:Havana
Naziv organizacije (npr. Kompanije) [Internet Widgits Pty Ltd]:Freekes
Naziv organizacijske jedinice (npr. Odjeljak) []:Freekes
Uobičajeni naziv (npr. FQDN poslužitelja ili VAŠE ime) []:mildap.amigos.cu
E-mail adresa []:frodo@amigos.cu Molimo unesite sljedeće 'dodatne' atribute koji će se poslati uz zahtjev za certifikat
Lozinka izazova []:xeon
Neobavezno ime kompanije []:Freekes ################################################### #################################################### ###############################################

: ~ / myca # /usr/lib/ssl/misc/CA.sh -sign
Korištenje konfiguracije iz /usr/lib/ssl/openssl.cnf
Unesite frazu za prosljeđivanje za ./demoCA/private/cakey.pem:xeon Provjerite podudara li se zahtjev potpis Potpis ok Detalji detalja certifikata: Serijski broj: bb: 9c: 1b: 72: a7: 1d: d1: e2 Valjanost Ne prije: 21. 05. 27:52:2013 21. GMT Nakon: 05. 27. 52. : 2014: 509 3 Predmet: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 proširenja: X509v3 Osnovna ograničenja: CA: FALSE OpenSSL generirani certifikat X80v62 Identifikator predmetnog ključa: 8: 44: 5C: 5: 8E: 67C: B1: 5: 3F: E50: C29: 86: 4: 15: BD: E72: 34: 98: 509: 3 X79v3 Ključ ovlaštenja Identifikator: keyid: 2: B7: B47: F67: 92: 9: 8: 2F: 1A: C3: 1C: 68C: 4A: 6: FD: D7: F40: D9: 21: 05A Certifikat treba ovjeriti do novembra 27 52:2014:365 XNUMX GMT (XNUMX dana)
Potpisati certifikat? [g / n]:y

1 od 1 zahtjeva za certifikatom ovjeren, obvezati? [g / n]y
Write out database with 1 new entries
Data Base Updated
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bb:9c:1b:72:a7:1d:d1:e2
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Validity
Not Before: Nov 21 05:27:52 2013 GMT
Not After : Nov 21 05:27:52 2014 GMT
Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74:
e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86:
57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad:
db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98:
61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b:
be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e:
82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71:
b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f:
05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d:
84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c:
4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c:
61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31:
37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e:
82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26:
7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e:
8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0:
48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7:
4f:8b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98
X509v3 Authority Key Identifier:
keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A

Signature Algorithm: sha1WithRSAEncryption
66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a:
56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f:
96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b:
1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61:
de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd:
8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97:
45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d:
23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3:
7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48:
8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90:
0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93:
14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7:
55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d:
d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b:
02:bf:2b:b0
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Signed certificate is in newcert.pem
###################################################################
###################################################################

: ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs /
: ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem
: ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem

: ~ / myca # nano certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - dodaj: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTec / TSC / skripte / olcTeC / TSC / adder: olcTec / TSC / skripte / olcTeC / TSC / adder: olcTLSCACertificateFile /mildap-key.pem

: ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif

: ~ / myca # aptitude instaliraj ssl-cert

: ~ / myca # adduser openldap ssl-cert
Dodavanje korisnika `openldap 'u grupu` ssl-cert' ... Dodavanje korisnika openldap u grupu ssl-cert Gotovo.
: ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod ili /etc/ssl/private/mildap-key.pem
: ~ / myca # ponovno pokretanje usluge slapd
[ok] Zaustavljanje OpenLDAP: slapd. [ok] Pokretanje OpenLDAP-a: slapd.

: ~ / myca # tail / var / log / syslog

Uz ovo objašnjenje i prethodne članke, sada možemo koristiti Wheezy kao operativni sistem za našu uslugu direktorija.

Nastavite s nama u sljedećem nastavku !!!.


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

3 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   sdsfaae rekao je

    Kako mogu staviti ovu vrstu certifikata ili https na web stranicu? bez pribjegavanja kompaniji, entitetu ili vanjskoj stranici
    Koje druge namjene ima vaš certifikat?

    1.    federico rekao je

      U primjeru, datoteka cacert.pem certifikata treba aktivirati šifrirani komunikacijski kanal između klijenta i poslužitelja, bilo na samom poslužitelju na kojem imamo OpenLDAP ili na klijentu koji provjerava autentičnost protiv direktorija.

      Na serveru i na klijentu morate prijaviti njihovu lokaciju u datoteci /etc/ldap/ldap.conf, kao što je objašnjeno u prethodnom članku:
      /Etc/ldap/ldap.conf datoteka

      BAZA dc = prijatelji, dc = cu
      URI ldap: //mildap.amigos.cu

      #SIZELIMIT 12
      #TIMELIMIT 15
      #DEREF nikad

      # TLS certifikata (potreban za GnuTLS)
      TLS_CACERT /etc/ssl/certs/cacert.pem

      Naravno, u slučaju klijenta, morate kopirati tu datoteku u direktorijum / etc / ssl / certs. Od tada, StartTLS možete koristiti za komunikaciju s LDAP serverom. Preporučujem vam da pročitate prethodne članke.

      Saludos

  2.   prorez rekao je