Service d'annuaire avec OpenLDAP [6]: certificats dans Debian 7 «Wheezy»

fico

Minutes 8

La procédure d'installation et de configuration du giflé, ainsi que le reste de ce qui est indiqué dans les deux articles précédents, à l'exception de la génération des certificats, est valable pour Wheezy.

Nous utiliserons principalement le style console car il s'agit de commandes console. Nous laissons toutes les sorties afin de gagner en clarté et de lire attentivement les messages renvoyés par le processus, ce que nous ne lisons presque jamais attentivement.

Le plus grand soin que nous devons avoir, c'est lorsqu'ils nous demandent:

Nom commun (par exemple FQDN du serveur ou VOTRE nom) []:mildap.amigos.cu

et nous devons écrire le FQDN depuis notre serveur LDAP, qui dans notre cas est mildap.amigos.cu. Sinon, le certificat ne fonctionnera pas correctement.

Pour obtenir les certificats, nous suivrons la procédure suivante:

: ~ # mkdir / root / myca
: ~ # cd / root / myca /
: ~ / myca # /usr/lib/ssl/misc/CA.sh -newca
Nom de fichier du certificat CA (ou entrée pour créer) Création d'un certificat CA ... Génération d'une clé privée RSA 2048 bits ................ +++ ......... ........................... +++ écriture d'une nouvelle clé privée dans './demoCA/private/./cakey.pem'
Entrez la phrase de passe PEM:xeon
Vérification - Entrez la phrase de passe PEM:xeon ----- Vous allez être invité à saisir des informations qui seront intégrées à votre demande de certificat. Ce que vous êtes sur le point d'entrer est ce que l'on appelle un nom distinctif ou un DN. Il y a pas mal de champs mais vous pouvez en laisser certains vides Pour certains champs, il y aura une valeur par défaut, si vous entrez «.», Le champ sera laissé vide. -----
Nom du pays (code à 2 lettres) [AU]:CU
Nom de l'État ou de la province (nom complet) [Some-State]:Habana
Nom de la localité (par exemple, ville) []:Habana
Nom de l'organisation (par exemple, société) [Internet Widgits Pty Ltd]:Freeke
Nom de l'unité organisationnelle (par exemple, section) []:Freeke
Nom commun (par exemple FQDN du serveur ou VOTRE nom) []:mildap.amigos.cu
Adresse e-mail []:frodo@amigos.cu Veuillez saisir les attributs «supplémentaires» suivants à envoyer avec votre demande de certificat
Un mot de passe de défi []:xeon
Un nom de société facultatif []:Freekes Utilisation de la configuration de /usr/lib/ssl/openssl.cnf
Entrez la phrase de passe pour ./demoCA/private/./cakey.pem:xeon Vérifiez que la demande correspond à la signature Signature ok Détails du certificat: Numéro de série: bb: 9c: 1b: 72: a7: 1d: d1: e1 Validité Pas avant: 21 novembre 05:23:50 2013 GMT Pas après: 20 novembre 05 : 23: 50 2016 GMT Subject: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu Extensions X509v3: X509v3 Identificateur de clé du sujet: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Identificateur de clé d'autorité: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Contraintes de base: CA: TRUE Le certificat doit être certifié jusqu'au 20 novembre 05:23:50 2016 GMT ( 1095 jours) Ecrire la base de données avec 1 nouvelles entrées Base de données mise à jour ################################### ################################################ # ############################################## # #####
: ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem
Génération d'une clé privée RSA de 2048 bits ......... +++ ............................... ............ +++ écriture d'une nouvelle clé privée dans 'newreq.pem' ----- Vous êtes sur le point d'être invité à entrer des informations qui seront incorporées dans votre demande de certificat. Ce que vous êtes sur le point d'entrer est ce que l'on appelle un nom distinctif ou un DN. Il y a pas mal de champs mais vous pouvez en laisser certains vides Pour certains champs, il y aura une valeur par défaut, si vous entrez «.», Le champ sera laissé vide. -----
Nom du pays (code à 2 lettres) [AU]:CU
Nom de l'État ou de la province (nom complet) [Some-State]:Habana
Nom de la localité (par exemple, ville) []:Habana
Nom de l'organisation (par exemple, société) [Internet Widgits Pty Ltd]:Freeke
Nom de l'unité organisationnelle (par exemple, section) []:Freeke
Nom commun (par exemple FQDN du serveur ou VOTRE nom) []:mildap.amigos.cu
Adresse e-mail []:frodo@amigos.cu Veuillez saisir les attributs «supplémentaires» suivants à envoyer avec votre demande de certificat
Un mot de passe de défi []:xeon
Un nom de société facultatif []:Freekes ############################################## ###################### ########################## # ##########################################

: ~ / myca # /usr/lib/ssl/misc/CA.sh -sign
Utilisation de la configuration depuis /usr/lib/ssl/openssl.cnf
Entrez la phrase de passe pour ./demoCA/private/cakey.pem:xeon Vérifiez que la demande correspond à la signature Signature ok Détails du certificat: Numéro de série: bb: 9c: 1b: 72: a7: 1d: d1: e2 Validité Pas avant: 21 novembre 05:27:52 2013 GMT Pas après: 21 novembre 05 : 27: 52 2014 GMT Sujet: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu Extensions X509v3: X509v3 Contraintes de base: CA: FALSE Commentaire Netscape: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3 Authority Key Identifiant: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Le certificat doit être certifié jusqu'en novembre 21 05:27:52 2014 GMT (365 jours)
Signer le certificat? [o / n]:y

1 demande de certificat sur 1 certifiée, s'engager? [o / n]y
Write out database with 1 new entries
Data Base Updated
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bb:9c:1b:72:a7:1d:d1:e2
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Validity
Not Before: Nov 21 05:27:52 2013 GMT
Not After : Nov 21 05:27:52 2014 GMT
Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74:
e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86:
57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad:
db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98:
61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b:
be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e:
82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71:
b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f:
05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d:
84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c:
4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c:
61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31:
37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e:
82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26:
7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e:
8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0:
48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7:
4f:8b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98
X509v3 Authority Key Identifier:
keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A

Signature Algorithm: sha1WithRSAEncryption
66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a:
56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f:
96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b:
1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61:
de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd:
8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97:
45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d:
23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3:
7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48:
8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90:
0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93:
14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7:
55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d:
d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b:
02:bf:2b:b0
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Signed certificate is in newcert.pem
###################################################################
###################################################################

: ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs /
: ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem
: ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem

: ~ / myca # nano certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - ajouter: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert. -key.pem

: ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif

: ~ / myca # aptitude install ssl-cert

: ~ / myca # adduser openldap ssl-cert
Ajout de l'utilisateur `openldap 'au groupe` ssl-cert' ... Ajout de l'utilisateur openldap au groupe ssl-cert Terminé.
: ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod ou /etc/ssl/private/mildap-key.pem
: ~ / myca # redémarrage du service slapd
[ok] Arrêt d'OpenLDAP: slapd. [ok] Démarrage d'OpenLDAP: slapd.

: ~ / myca # tail / var / log / syslog

Avec cette explication et les articles précédents, nous pouvons désormais utiliser Wheezy comme système d'exploitation pour notre service d'annuaire.

Continuez avec nous dans le prochain épisode !!!.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   sdsfaae dit
    il ya 10 ans.

    Comment mettre ce type de certificat ou https sur la page Web? sans recourir à une entreprise, une entité ou une page externe
    Quelles sont les autres utilisations de votre certificat?

    Répondre à sdsfaae
    1.    federico dit
      il ya 10 ans.

      Dans l'exemple, le fichier cacert.pem du certificat sert à activer un canal de communication chiffré entre le client et le serveur, soit sur le serveur lui-même où nous avons l'OpenLDAP, soit sur un client qui s'authentifie auprès de l'annuaire.

      Sur le serveur et sur le client, vous devez déclarer leur emplacement dans le fichier /etc/ldap/ldap.conf, comme expliqué dans l'article précédent:
      Fichier /Etc/ldap/ldap.conf

      BASE dc = amis, dc = cu
      URI ldap: //mildap.amigos.cu

      #SIZELIMIT 12
      #TIMELIMIT 15
      #DEREF jamais

      # Certificats TLS (nécessaires pour GnuTLS)
      TLS_CACERT /etc/ssl/certs/cacert.pem

      Bien entendu, dans le cas du client, vous devez copier ce fichier dans le dossier / etc / ssl / certs. À partir de là, vous pouvez utiliser StartTLS pour communiquer avec le serveur LDAP. Je vous recommande de lire les articles précédents.

      salutations

      Répondre à federico
  2.   Rajan dit
    il ya 6 ans.

    Merci de partager cette information comment réparer les connexions de périphériques audio Bluetooth dans Windows 10

    Répondre à rajan