Asennus - ja määritysmenettely läimäyttää, samoin kuin loput kahdessa edellisessä artikkelissa mainitusta, sertifikaattien luomista lukuun ottamatta, ovat voimassa Wheezylle.
Käytämme konsolityyliä enimmäkseen, koska kyse on konsolikomennoista. Jätämme kaikki tuotokset selkeyden saamiseksi ja voimme lukea huolellisesti, mitkä viestit prosessi palaa meille, joita muuten tuskin koskaan lukemme huolellisesti.
Suurin huolenaihe, joka meillä on, on, kun he kysyvät meiltä:
Yleinen nimi (esim. Palvelimen FQDN tai OMA nimesi) []:mildap.amigos.cu
ja meidän on kirjoitettava FQDN LDAP-palvelimeltamme, mikä meidän tapauksessamme on mildap.amigos.cu. Muuten varmenne ei toimi oikein.
Varmenteiden saamiseksi noudatamme seuraavaa menettelyä:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -uusi CA-varmenteen tiedostonimi (tai kirjoita luodaksesi) Luo CA-varmenne ... Luodaan 2048-bittinen RSA-yksityinen avain ................ +++ ......... ........................... +++ uuden yksityisen avaimen kirjoittaminen tiedostoon './demoCA/private/./cakey.pem' Kirjoita PEM-salasana:Xeon Vahvistetaan - kirjoita PEM-salasana:xeon ----- Sinua pyydetään antamaan tietoja, jotka sisällytetään varmenteesi pyyntöön. Mitä aiot syöttää, on niin kutsuttu nimetty nimi tai DN. Kenttiä on melko vähän, mutta voit jättää joitain tyhjiä. Joillekin kentille on oletusarvo, Jos syötät '.', Kenttä jätetään tyhjäksi. ----- Maan nimi (kaksikirjaiminen koodi) [AU]:CU Osavaltion tai provinssin nimi (täydellinen nimi) [Some-State]:Habana Paikkakunnan nimi (esim. Kaupunki) []:Habana Organisaation nimi (esim. Yritys) [Internet Widgits Pty Ltd]:Freekes Organisaatioyksikön nimi (esim. Osasto) []:Freekes Yleinen nimi (esim. Palvelimen FQDN tai OMA nimesi) []:mildap.amigos.cu Sähköpostiosoite []:frodo@amigos.cu Anna seuraavat ylimääräiset määritteet, jotka lähetetään sertifikaattipyyntösi mukana Haastesalasana []:Xeon Valinnainen yrityksen nimi []:Freekes Käyttämällä määritystä tiedostosta /usr/lib/ssl/openssl.cnf Kirjoita salasana ./demoCA/private/./cakey.pem:xeon Tarkista, että pyyntö vastaa allekirjoitusta Allekirjoitus ok Varmenteen tiedot: Sarjanumero: bb: 9c: 1b: 72: a7: 1d: d1: e1 Voimassaolo ei ole: 21. marraskuuta 05:23:50 2013 GMT Ei jälkeen: 20. marraskuuta : 05: 23 50 GMT Subject: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X2016v509 extensions: X3v509 Subject Key Identifier: 3: B79: B3: F2: 7: 47: 67: 92F: 9A: C8: 2C: 1C: 3A: 1: FD: D68: F4: D6: 7: 40A X9v509 Authority Key Identifier: avaimenperä: 3: B79: B3: F2: 7: 47: 67: 92F: 9A: C8: 2C: 1C: 3A: 1: FD: D68: F4: D6: 7: 40A X9v509 Perusrajoitukset: CA: TOSI-varmenne on sertifioitava 3. marraskuuta 20:05:23 50 GMT ( 2016 päivää) Kirjoita tietokanta 1095 uudella merkinnällä Tietokanta päivitetty ######################################### ########################################################## ######################################################### ##### : ~ / myca # openssl req -uusi -solmut -näppäin newreq.pem -out newreq.pem 2048-bittisen yksityisen RSA-avaimen luominen ......... +++ ............................... ............ +++ uuden yksityisen avaimen kirjoittaminen osoitteeseen newreq.pem ----- Sinua pyydetään antamaan tietoja, jotka sisällytetään varmentepyyntöön. Mitä aiot syöttää, on niin kutsuttu nimetty nimi tai DN. Kenttiä on melko vähän, mutta voit jättää joitain tyhjiä. Joillekin kentille on oletusarvo, Jos syötät '.', Kenttä jätetään tyhjäksi. ----- Maan nimi (kaksikirjaiminen koodi) [AU]:CU Osavaltion tai provinssin nimi (täydellinen nimi) [Some-State]:Habana Paikkakunnan nimi (esim. Kaupunki) []:Habana Organisaation nimi (esim. Yritys) [Internet Widgits Pty Ltd]:Freekes Organisaatioyksikön nimi (esim. Osasto) []:Freekes Yleinen nimi (esim. Palvelimen FQDN tai OMA nimesi) []:mildap.amigos.cu Sähköpostiosoite []:frodo@amigos.cu Anna seuraavat ylimääräiset määritteet, jotka lähetetään sertifikaattipyyntösi mukana Haastesalasana []:Xeon Valinnainen yrityksen nimi []:Freekes ######################################################## ######################################################## #################################################### : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Käyttämällä määritystä tiedostosta /usr/lib/ssl/openssl.cnf Kirjoita salasana ./demoCA/private/cakey.pem:xeon Tarkista, että pyyntö vastaa allekirjoitusta Allekirjoitus ok Varmenteen tiedot: Sarjanumero: bb: 9c: 1b: 72: a7: 1d: d1: e2 Voimassaolo ei ole: 21. marraskuuta 05:27:52 2013 GMT Ei jälkeen: 21. marraskuuta 05 : 27: 52 2014 GMT Subject: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 laajennukset: X509v3 Perusrajoitukset: CA-komento: CA OpenSSL: n luoma varmenne X509v3 Subject Key Identifier: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3 Authority Key Tunniste: avainkoodi: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Sertifikaatti on sertifioitava marraskuuhun asti 21 05:27:52 2014 GMT (365 päivää) Allekirjoita varmenne? [kyllä / ei]:y 1/1 sertifikaattipyynnöstä varmennettu, sitoutuuko? [kyllä]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem / add / privateK sc - Luku / yksityinen: sc /mildap-key.pem : ~ / myca # ldapmodify -Y ULKOINEN -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude asenna ssl-cert : ~ / myca # adduser openldap ssl-cert Käyttäjän `openldap 'lisääminen ryhmään` ssl-cert' ... Käyttäjän openldap lisääminen ryhmään ssl-cert Valmis. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod tai /etc/ssl/private/mildap-key.pem : ~ / myca # service slapd uudelleenkäynnistys [ok] OpenLDAP: n pysäyttäminen: slapd. [ok] OpenLDAP: n käynnistäminen: slapd. : ~ / myca # tail / var / log / syslog
Tämän selityksen ja edellisten artikkeleiden avulla voimme nyt käyttää Wheezyä hakemistopalvelumme käyttöjärjestelmänä.
Jatka kanssamme seuraavassa erässä !!!.
Kuinka laitan tämän tyyppisen varmenteen tai https: n verkkosivustolle? turvautumatta yritykseen, yhteisöön tai ulkoiseen sivuun
Mitä muita varmenteesi käyttötarkoituksia on?
Esimerkissä varmenteen cacert.pem-tiedoston on aktivoitava salattu viestintäkanava asiakkaan ja palvelimen välillä joko itse palvelimella, jolla meillä on OpenLDAP, tai asiakkaalla, joka todentaa hakemistoa vastaan.
Palvelimella ja asiakkaalla sinun on ilmoitettava heidän sijaintinsa /etc/ldap/ldap.conf -tiedostossa, kuten edellisessä artikkelissa selitettiin:
/Etc/ldap/ldap.conf-tiedosto
PERUS dc = ystävät, dc = cu
URI-tiedosto: //mildap.amigos.cu
#SISELIMIT 12
#TIMELIMIT 15
#DEREF ei koskaan
# TLS-varmenteet (tarvitaan GnuTLS: lle)
TLS_CACERT /etc/ssl/certs/cacert.pem
Tietenkin asiakkaan tapauksessa sinun on kopioitava tiedosto tiedostoon / etc / ssl / certs. Siitä lähtien voit käyttää StartTLS: ää yhteydenpitoon LDAP-palvelimen kanssa. Suosittelen, että luet edelliset artikkelit.
terveiset
Kiitos tietojen jakamisesta Kuinka korjaan Bluetooth-äänilaitteiden yhteydet Windows 10: ssä