Programmi installimine ja seadistamine laks, samuti ülejäänud kahes eelmises artiklis märgitu, välja arvatud sertifikaatide genereerimine, kehtib Wheezy puhul.
Kasutame konsoolistiili enamasti, kuna tegemist on konsoolikäskudega. Jätame kõik väljundid, et saaksime selgust ja saaksime hoolikalt lugeda, milliseid sõnumeid protsess meile tagasi toob, mida muidu peaaegu kunagi hoolikalt ei loe.
Suurim hoolitsus, mis meil olema peab, on see, kui nad küsivad meilt:
Üldnimi (nt serveri FQDN või SINU nimi) []:mildap.amigos.cu
ja me peame kirjutama KKK meie LDAP-serverist, mis meie puhul on mildap.amigos.cu. Vastasel juhul ei tööta sertifikaat õigesti.
Sertifikaatide saamiseks järgime järgmist protseduuri:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca CA sertifikaadi failinimi (või sisestamiseks sisestage sisestamine) CA sertifikaadi loomine ... 2048-bitise RSA privaatvõtme genereerimine ................ +++ ......... ........................... +++ uue privaatvõtme kirjutamine './demoCA/private/./cakey.pem' Sisestage PEM-passi fraas:xeon Kinnitamine - sisestage PEM-pääsulause:xeon ----- Teil palutakse sisestada teave, mis lisatakse teie sertifikaadi taotlusele. Sisestate seda, mida nimetatakse eristatavaks nimeks või DN-ks. Väljad on üsna palju, kuid võite jätta tühjad. Mõne välja jaoks on vaikeväärtus, kui sisestate '.', Väli jääb tühjaks. ----- Riigi nimi (kahetäheline kood) [AU]:CU Osariigi või provintsi nimi (täielik nimi) [mõni riik]:Habana Asukoha nimi (nt linn) []:Habana Organisatsiooni nimi (nt ettevõte) [Internet Widgits Pty Ltd]:Vabakutselised Organisatsiooniüksuse nimi (nt jagu) []:Vabakutselised Üldnimi (nt serveri FQDN või SINU nimi) []:mildap.amigos.cu E-posti aadress []:frodo@amigos.cu Sisestage järgmised sertifikaadi taotlusega saadetavad atribuudid „extra” Väljakutse parool []:xeon Valikuline ettevõtte nimi []:Freekes Kasutades seadistust /usr/lib/ssl/openssl.cnf Sisestage parooli ./demoCA/private/./cakey.pem pääsulause:xeon Kontrollige, kas taotlus vastab allkirjale Allkiri ok Sertifikaadi üksikasjad: Seerianumber: bb: 9c: 1b: 72: a7: 1d: d1: e1 Kehtivus mitte enne: 21. november 05:23:50 2013 GMT Mitte pärast: 20. nov 05 : 23: 50 2016 GMT Subject: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 extensions: X509v3 Subject Key Identifier: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Autoriõiguse võtme tunnus: võtmehoidja: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 põhipiirangud: CA: TRUE sertifikaat peab olema sertifitseeritud kuni 20. novembril 05:23:50 2016 GMT ( 1095 päeva) Kirjutage andmebaas välja 1 uue kirjega. Andmebaas uuendatud #################################### ######################################################### ######################################################## ##### : ~ / myca # openssl req -uus-sõlmede -outout newreq.pem -out newreq.pem 2048-bitise RSA privaatvõtme genereerimine ......... +++ ............................... ............ +++ uue privaatvõtme kirjutamine saidile 'newreq.pem' ----- Teil palutakse sisestada teave, mis lisatakse teie sertifikaaditaotlusesse. Sisestate seda, mida nimetatakse eristatavaks nimeks või DN-ks. Välju on üsna palju, kuid võite jätta mõned tühjadeks. Mõne välja jaoks on vaikeväärtus, kui sisestate '.', Väli jääb tühjaks. ----- Riigi nimi (kahetäheline kood) [AU]:CU Osariigi või provintsi nimi (täielik nimi) [mõni riik]:Habana Asukoha nimi (nt linn) []:Habana Organisatsiooni nimi (nt ettevõte) [Internet Widgits Pty Ltd]:Vabakutselised Organisatsiooniüksuse nimi (nt jagu) []:Vabakutselised Üldnimi (nt serveri FQDN või SINU nimi) []:mildap.amigos.cu E-posti aadress []:frodo@amigos.cu Sisestage järgmised sertifikaadi taotlusega saadetavad atribuudid „extra” Väljakutse parool []:xeon Valikuline ettevõtte nimi []:Freekes ##################################################### # ######################################################### ################################################### : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Kasutades seadistust kataloogist /usr/lib/ssl/openssl.cnf Sisestage ./demoCA/private/cakey.pem pääsulause:xeon Kontrollige, kas taotlus vastab allkirjale Allkiri ok Sertifikaadi üksikasjad: Seerianumber: bb: 9c: 1b: 72: a7: 1d: d1: e2 Kehtivus mitte enne: 21. november 05:27:52 2013 GMT Mitte pärast: 21. nov 05 : 27: 52 2014 GMT Subject: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 extensions: X509v3 Basic Constraints: CA Comment OpenSSL-i loodud sertifikaat X509v3 teemavõtme identifikaator: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3 autoriseerimisvõti Identifier: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Sertifikaat tuleb kinnitada kuni nov. 21 05:27:52 2014 GMT (365 päeva) Kas kirjutada sertifikaadile alla? [jah / ei]:y 1 sertifikaaditaotlusest 1 on kinnitatud, kas lubada? [jah / ei]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - lisage: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.peter / private: private: jne /mildap-key.pem : ~ / myca # ldapmodify -Y VÄLIS -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude installib ssl-cert : ~ / myca # adduser openldap ssl-cert Kasutaja `openldap 'lisamine gruppi` ssl-cert' ... Kasutaja openldap lisamine gruppi ssl-cert Valmis. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod või /etc/ssl/private/mildap-key.pem : ~ / myca # teenuse slapd taaskäivitamine [ok] OpenLDAP-i peatamine: slapd. [ok] OpenLDAP käivitamine: slapd. : ~ / myca # tail / var / log / syslog
Selle selgituse ja eelnevate artiklite abil saame nüüd kasutada Wheezyt meie kataloogiteenuse operatsioonisüsteemina.
Jätkake meiega järgmises osas !!!.
Kuidas seda tüüpi sertifikaate või https-i veebisaidile panna? ilma ettevõtte, üksuse või välise leheta
Mis on teie sertifikaadi muud kasutusalad?
Selles näites peab sertifikaadi fail cacert.pem aktiveerima krüptitud suhtluskanali kliendi ja serveri vahel kas serveris endas, kus meil on OpenLDAP, või kliendis, mis autentib kataloogi vastu.
Serveris ja kliendis peate deklareerima nende asukoha failis /etc/ldap/ldap.conf, nagu eelmises artiklis selgitatud:
/Etc/ldap/ldap.conf fail
ALUS dc = sõbrad, dc = cu
URI ldap: //mildap.amigos.cu
#SISELIMIT 12
# TIMELIMIT 15
#DEREF mitte kunagi
# TLS-i sertifikaati (vajalik GnuTLS-i jaoks)
TLS_CACERT /etc/ssl/certs/cacert.pem
Muidugi peate kliendi puhul selle faili kopeerima kausta / etc / ssl / certs. Sellest ajast saad LDT-serveriga suhtlemiseks kasutada StartTLS-i. Soovitan teil lugeda eelnevaid artikleid.
seoses
Täname teabe jagamise eest Kuidas parandada bluetooth-heliseadmete ühendusi Windows 10-s