Postupak instalacije i konfiguracije slap, kao i ostatak onoga što je naznačeno u dva prethodna članka, osim generacije certifikata, vrijedi za Wheezy.
Stil konzole koristit ćemo uglavnom jer se radi o naredbama konzole. Ostavljamo sve izlaze kako bismo stekli jasnoću i mogli pažljivo pročitati koje nam se poruke proces vraća, a koje inače gotovo nikad ne čitamo pažljivo.
Najveća briga koju moramo imati je kada nas pitaju:
Uobičajeni naziv (npr. FQDN poslužitelja ili VAŠE ime) []:mildap.amigos.cu
i moramo napisati FQDN sa našeg LDAP servera, što je u našem slučaju mildap.amigos.cu. U suprotnom, certifikat neće raditi ispravno.
Da bismo dobili certifikate, slijedit ćemo slijedeći postupak:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca Naziv datoteke CA certifikata (ili unesite za stvaranje) Izrada CA certifikata ... Generiranje 2048-bitnog RSA privatnog ključa ................ +++ ......... ........................... +++ pisanje novog privatnog ključa u './demoCA/private/./cakey.pem' Unesite PEM pristupnu frazu:xeon Provjera - Unesite PEM frazu:xeon ----- Od vas će se tražiti da unesete informacije koje će biti ugrađene u vaš zahtjev za certifikatom. Ono što ćete unijeti je ono što se naziva istaknuto ime ili DN. Postoji dosta polja, ali možete ostaviti neka prazna. Za neka polja bit će zadana vrijednost, Ako unesete '.', Polje će ostati prazno. ----- Naziv države (dvoslovni kod) [AU]:CU Ime države ili provincije (puno ime) [Neke države]:Havana Naziv mjesta (npr. Grad) []:Havana Naziv organizacije (npr. Kompanije) [Internet Widgits Pty Ltd]:Freekes Naziv organizacijske jedinice (npr. Odjeljak) []:Freekes Uobičajeni naziv (npr. FQDN poslužitelja ili VAŠE ime) []:mildap.amigos.cu E-mail adresa []:frodo@amigos.cu Molimo unesite sljedeće 'dodatne' atribute koji će se poslati uz zahtjev za certifikat Lozinka izazova []:xeon Neobavezno ime kompanije []:Freekes Korištenje konfiguracije iz /usr/lib/ssl/openssl.cnf Unesite frazu za prosljeđivanje za ./demoCA/private/./cakey.pem:xeon Provjerite podudara li se zahtjev potpis Potpis ok Detalji detalja certifikata: Serijski broj: bb: 9c: 1b: 72: a7: 1d: d1: e1 Valjanost Ne prije: 21. 05. 23:50:2013 20. GMT Nakon: 05. 23. 50. : 2016: 509 3 GMT Predmet: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 proširenja: X79v3 Identifikator ključa subjekta: 2: B7: B47: F67: 92: 9: 8: 2F: 1A: C3: 1C: 68C: 4A: 6: FD: D7: F40: D9: 509: 3A X79v3 Identifikator ključa vlasti: keyid: 2: B7: B47: F67: 92: 9: 8: 2F: 1A: C3: 1C: 68C: 4A: 6: FD: D7: F40: D9: 509: 3A X20v05 Osnovna ograničenja: CA: TRUE certifikat treba ovjeriti do 23. novembra 50:2016:1095 1 GMT ( XNUMX dana) Napišite bazu podataka sa XNUMX novi unos Baza podataka ažurirana ###################################### ##################################################### #################################################### ##### : ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem Generiranje 2048-bitnog RSA privatnog ključa ......... +++ ............................... ............ +++ pisanje novog privatnog ključa u 'newreq.pem' ----- Od vas će se tražiti da unesete informacije koje će biti ugrađene u vaš zahtjev za certifikatom. Ono što ćete unijeti je ono što se naziva istaknuto ime ili DN. Postoji dosta polja, ali možete ostaviti neka prazna. Za neka polja bit će zadana vrijednost, Ako unesete '.', Polje će ostati prazno. ----- Naziv države (dvoslovni kod) [AU]:CU Ime države ili provincije (puno ime) [Neke države]:Havana Naziv mjesta (npr. Grad) []:Havana Naziv organizacije (npr. Kompanije) [Internet Widgits Pty Ltd]:Freekes Naziv organizacijske jedinice (npr. Odjeljak) []:Freekes Uobičajeni naziv (npr. FQDN poslužitelja ili VAŠE ime) []:mildap.amigos.cu E-mail adresa []:frodo@amigos.cu Molimo unesite sljedeće 'dodatne' atribute koji će se poslati uz zahtjev za certifikat Lozinka izazova []:xeon Neobavezno ime kompanije []:Freekes ################################################### #################################################### ############################################### : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Korištenje konfiguracije iz /usr/lib/ssl/openssl.cnf Unesite frazu za prosljeđivanje za ./demoCA/private/cakey.pem:xeon Provjerite podudara li se zahtjev potpis Potpis ok Detalji detalja certifikata: Serijski broj: bb: 9c: 1b: 72: a7: 1d: d1: e2 Valjanost Ne prije: 21. 05. 27:52:2013 21. GMT Nakon: 05. 27. 52. : 2014: 509 3 Predmet: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 proširenja: X509v3 Osnovna ograničenja: CA: FALSE OpenSSL generirani certifikat X80v62 Identifikator predmetnog ključa: 8: 44: 5C: 5: 8E: 67C: B1: 5: 3F: E50: C29: 86: 4: 15: BD: E72: 34: 98: 509: 3 X79v3 Ključ ovlaštenja Identifikator: keyid: 2: B7: B47: F67: 92: 9: 8: 2F: 1A: C3: 1C: 68C: 4A: 6: FD: D7: F40: D9: 21: 05A Certifikat treba ovjeriti do novembra 27 52:2014:365 XNUMX GMT (XNUMX dana) Potpisati certifikat? [g / n]:y 1 od 1 zahtjeva za certifikatom ovjeren, obvezati? [g / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - dodaj: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTec / TSC / skripte / olcTeC / TSC / adder: olcTec / TSC / skripte / olcTeC / TSC / adder: olcTLSCACertificateFile /mildap-key.pem : ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude instaliraj ssl-cert : ~ / myca # adduser openldap ssl-cert Dodavanje korisnika `openldap 'u grupu` ssl-cert' ... Dodavanje korisnika openldap u grupu ssl-cert Gotovo. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod ili /etc/ssl/private/mildap-key.pem : ~ / myca # ponovno pokretanje usluge slapd [ok] Zaustavljanje OpenLDAP: slapd. [ok] Pokretanje OpenLDAP-a: slapd. : ~ / myca # tail / var / log / syslog
Uz ovo objašnjenje i prethodne članke, sada možemo koristiti Wheezy kao operativni sistem za našu uslugu direktorija.
Nastavite s nama u sljedećem nastavku !!!.
Kako mogu staviti ovu vrstu certifikata ili https na web stranicu? bez pribjegavanja kompaniji, entitetu ili vanjskoj stranici
Koje druge namjene ima vaš certifikat?
U primjeru, datoteka cacert.pem certifikata treba aktivirati šifrirani komunikacijski kanal između klijenta i poslužitelja, bilo na samom poslužitelju na kojem imamo OpenLDAP ili na klijentu koji provjerava autentičnost protiv direktorija.
Na serveru i na klijentu morate prijaviti njihovu lokaciju u datoteci /etc/ldap/ldap.conf, kao što je objašnjeno u prethodnom članku:
/Etc/ldap/ldap.conf datoteka
BAZA dc = prijatelji, dc = cu
URI ldap: //mildap.amigos.cu
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF nikad
# TLS certifikata (potreban za GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
Naravno, u slučaju klijenta, morate kopirati tu datoteku u direktorijum / etc / ssl / certs. Od tada, StartTLS možete koristiti za komunikaciju s LDAP serverom. Preporučujem vam da pročitate prethodne članke.
Saludos
Hvala što ste podelili ove informacije kako popraviti veze Bluetooth audio uređaja u sustavu Windows 10