Installations- og konfigurationsproceduren for smække, såvel som resten af det, der er angivet i de to foregående artikler, med undtagelse af generering af certifikater, er gyldigt for Wheezy.
Vi bruger mest konsolstilen, da det handler om konsolkommandoer. Vi efterlader alle output, så vi får klarhed, og vi kan læse omhyggeligt, hvilke meddelelser processen returnerer til os, som vi ellers næsten aldrig læser omhyggeligt.
Den største omhu, vi skal have, er når de spørger os:
Almindeligt navn (f.eks. Server FQDN eller DIT navn) []:mildap.amigos.cu
og vi skal skrive FQDN fra vores LDAP-server, hvilket i vores tilfælde er mildap.amigos.cu. Ellers fungerer certifikatet ikke korrekt.
For at opnå certifikater følger vi følgende procedure:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca CA-certifikats filnavn (eller indtast for at oprette) Oprettelse af CA-certifikat ... Genererer en 2048 bit RSA privat nøgle ................ +++ ......... ........................... +++ skriver ny privat nøgle til './demoCA/private/./cakey.pem' Indtast PEM-adgangssætning:Xeon Bekræftelse - Indtast PEM-adgangssætning:xeon ----- Du er ved at blive bedt om at indtaste oplysninger, der vil blive indarbejdet i din certifikatanmodning. Hvad du er ved at indtaste er det, der kaldes et Distinguished Name eller en DN. Der er ganske mange felter, men du kan lade nogle være tomme. For nogle felter vil der være en standardværdi. Hvis du indtaster '.', Vil feltet være tomt. ----- Landets navn (kode med 2 bogstaver) [AU]:CU Navn på stat eller provins (fuldt navn) [Nogle stater]:Habana Lokalitetsnavn (f.eks. By) []:Habana Organisationsnavn (f.eks. Firma) [Internet Widgits Pty Ltd]:Freekes Organisationsenhedsnavn (f.eks. Sektion) []:Freekes Almindeligt navn (f.eks. Server FQDN eller DIT navn) []:mildap.amigos.cu Email adresse []:frodo@amigos.cu Indtast følgende 'ekstra' attributter, der skal sendes sammen med din certifikatanmodning En adgangskode til udfordring []:Xeon Et valgfrit firmanavn []:Freekes Brug af konfiguration fra /usr/lib/ssl/openssl.cnf Indtast adgangssætning til ./demoCA/private/./cakey.pem:xeon Kontroller, at anmodningen matcher signaturen Signatur ok Certifikatoplysninger: Serienummer: bb: 9c: 1b: 72: a7: 1d: d1: e1 Gyldighed Ikke før: 21. nov. 05:23:50 2013 GMT Ikke efter: 20. november 05 : 23: 50 2016 GMT Emne: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationalUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 extensions: X509v3 Emne Key Identifier: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Autoritetsnøgleidentifikator: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Grundlæggende begrænsninger: CA: SAND Certifikat skal certificeres indtil 20. november 05:23:50 2016 GMT ( 1095 dage) Skriv database med 1 nye poster Database Opdateret ######################################################## ################################################################# ## ################################### ############################ ## ##### : ~ / myca # openssl req -ny -noder -keyout newreq.pem -out newreq.pem Genererer en 2048 bit RSA privat nøgle ......... +++ ............................... ............ +++ skriver ny privat nøgle til 'newreq.pem' ----- Du er ved at blive bedt om at indtaste oplysninger, der vil blive indarbejdet i din certifikatanmodning. Hvad du er ved at indtaste, er hvad der kaldes et Distinguished Name eller en DN. Der er ganske mange felter, men du kan lade nogle være tomme. For nogle felter vil der være en standardværdi. Hvis du indtaster '.', Vil feltet være tomt. ----- Landets navn (kode med 2 bogstaver) [AU]:CU Navn på stat eller provins (fuldt navn) [Nogle stater]:Habana Lokalitetsnavn (f.eks. By) []:Habana Organisationsnavn (f.eks. Firma) [Internet Widgits Pty Ltd]:Freekes Organisationsenhedsnavn (f.eks. Sektion) []:Freekes Almindeligt navn (f.eks. Server FQDN eller DIT navn) []:mildap.amigos.cu Email adresse []:frodo@amigos.cu Indtast følgende 'ekstra' attributter, der skal sendes sammen med din certifikatanmodning En adgangskode til udfordring []:Xeon Et valgfrit firmanavn []:Freekes ################################################################## ########################## ###################################### ######################################################## : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Brug af konfiguration fra /usr/lib/ssl/openssl.cnf Indtast adgangssætning til ./demoCA/private/cakey.pem:xeon Kontroller, at anmodningen matcher signaturen Signatur ok Certifikatoplysninger: Serienummer: bb: 9c: 1b: 72: a7: 1d: d1: e2 Gyldighed Ikke før: 21. nov. 05:27:52 2013 GMT Ikke efter: 21. nov. 05 : 27: 52 2014 GMT Emne: countryName = CU stateOrProvinceName = Habana localityName = Habana organisationsnavn = Freekes organizationalUnitName = Freekes fællesnavn = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 udvidelser: X509v3 Grundlæggende begrænsninger: CA: FALSE Netscape Kommentar: OpenSSL-genereret certifikat X509v3 Emne-nøgle-id: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3 autoritetsnøgle Identifikator: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Certifikatet skal certificeres indtil november 21 05:27:52 2014 GMT (365 dage) Underskrive certifikatet? [y / n]:y 1 ud af 1 certifikatanmodninger certificeret, begå? [å / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config tilføj: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.cem.CertCert / sertifikatFil: osv. /mildap-key.pem : ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude install ssl-cert : ~ / myca # adduser openldap ssl-cert Tilføjelse af brugeren 'openldap' til gruppen 'ssl-cert' ... Tilføjelse af bruger openldap til gruppen ssl-cert Udført. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod eller /etc/ssl/private/mildap-key.pem : ~ / myca # service slapd genstart [ok] Stop af OpenLDAP: slapd. [ok] Start af OpenLDAP: slapd. : ~ / myca # tail / var / log / syslog
Med denne forklaring og de foregående artikler kan vi nu bruge Wheezy som operativsystem til vores Directory Service.
Fortsæt med os i næste rate !!!.
Hvordan kan jeg placere denne type certifikat eller https på webstedet? uden at ty til en virksomhed, enhed eller ekstern side
Hvilke andre anvendelser har dit certifikat?
I eksemplet er cacert.pem-filen i certifikatet at aktivere en krypteret kommunikationskanal mellem klienten og serveren, enten på selve serveren, hvor vi har OpenLDAP, eller på en klient, der autentificerer mod Directory.
På serveren og klienten skal du erklære deres placering i /etc/ldap/ldap.conf-filen som forklaret i den foregående artikel:
/Etc/ldap/ldap.conf-fil
BASE dc = venner, dc = cu
URI ldap: //mildap.amigos.cu
# STØRRELSE 12
#TIMELIMIT 15
#DEREF aldrig
# TLS-certifikater (nødvendigt til GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
I klientens tilfælde skal du selvfølgelig kopiere den fil til mappen / etc / ssl / certs. Fra da af kan du bruge StartTLS til at kommunikere med LDAP-serveren. Jeg anbefaler, at du læser de foregående artikler.
hilsen
Tak for at dele denne information hvordan løser jeg forbindelser til Bluetooth-lydenheder i Windows 10