Prosedur penginstalan dan konfigurasi file menampar, serta sisa dari apa yang ditunjukkan dalam dua artikel sebelumnya, dengan pengecualian pembuatan sertifikat, berlaku untuk Wheezy.
Kami akan menggunakan gaya konsol sebagian besar karena ini tentang perintah konsol. Kami meninggalkan semua output sehingga kami mendapatkan kejelasan dan dapat membaca dengan cermat pesan mana yang dikembalikan oleh proses, yang jika tidak, kami hampir tidak pernah membaca dengan cermat.
Perhatian terbesar yang harus kita miliki adalah ketika mereka bertanya kepada kita:
Nama Umum (misalnya FQDN server atau nama ANDA) []:Mildap.amigos.cu
dan kita harus menulis FQDN dari server LDAP kami, yang dalam kasus kami adalah Mildap.amigos.cu. Jika tidak, sertifikat tidak akan berfungsi dengan benar.
Untuk mendapatkan sertifikat, kami akan mengikuti prosedur berikut:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca Nama file sertifikat CA (atau enter untuk membuat) Membuat sertifikat CA ... Membuat kunci pribadi RSA 2048 bit ................ +++ ......... ........................... +++ menulis kunci pribadi baru ke './demoCA/private/./cakey.pem' Masukkan frasa sandi PEM:xeon Memverifikasi - Masukkan frasa sandi PEM:xeon ----- Anda akan diminta memasukkan informasi yang akan dimasukkan ke dalam permintaan sertifikat Anda. Apa yang akan Anda masukkan adalah apa yang disebut Nama yang Dibedakan atau DN. Ada cukup banyak bidang tetapi Anda dapat membiarkan beberapa kosong. Untuk beberapa bidang akan ada nilai default, Jika Anda memasukkan '.', Bidang tersebut akan dikosongkan. ----- Nama Negara (kode 2 huruf) [AU]:CU Nama Negara Bagian atau Provinsi (nama lengkap) [Some-State]:Havana Nama Lokalitas (mis., Kota) []:Havana Nama Organisasi (mis., Perusahaan) [Internet Widgits Pty Ltd]:Gratis Nama Unit Organisasi (misalnya, bagian) []:Gratis Nama Umum (misalnya FQDN server atau nama ANDA) []:Mildap.amigos.cu Alamat email []:frodo@amigos.cu Harap masukkan atribut 'ekstra' berikut untuk dikirim bersama permintaan sertifikat Anda Sandi tantangan []:xeon Nama perusahaan opsional []:Freekes Menggunakan konfigurasi dari /usr/lib/ssl/openssl.cnf Masukkan frasa sandi untuk ./demoCA/private/./cakey.pem:xeon Periksa apakah permintaan sesuai dengan tanda tangan. Tanda tangan ok Rincian Sertifikat: Nomor Seri: bb: 9c: 1b: 72: a7: 1d: d1: e1 Validitas Tidak Sebelum: 21 Nov 05:23:50 2013 GMT Tidak Setelah: 20 Nov 05 : 23: 50 2016 GMT Subjek: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu Ekstensi X509v3: X509v3 Pengenal Kunci Subjek: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Pengenal Kunci Otoritas: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Batasan Dasar: CA: Sertifikat TRUE harus disertifikasi hingga 20 November 05:23:50 2016 GMT ( 1095 hari) Tulis database dengan 1 entri baru. Data Base Diperbarui ################################### ############################################### ## ############################################# ## ##### : ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem Menghasilkan kunci pribadi RSA 2048 bit ......... +++ ............................... ............ +++ menulis kunci pribadi baru ke 'newreq.pem' ----- Anda akan diminta untuk memasukkan informasi yang akan dimasukkan ke dalam permintaan sertifikat Anda. Apa yang akan Anda masukkan adalah apa yang disebut Nama yang Dibedakan atau DN. Ada cukup banyak bidang tetapi Anda dapat membiarkan beberapa kosong. Untuk beberapa bidang akan ada nilai default, Jika Anda memasukkan '.', Bidang tersebut akan dikosongkan. ----- Nama Negara (kode 2 huruf) [AU]:CU Nama Negara Bagian atau Provinsi (nama lengkap) [Some-State]:Havana Nama Lokalitas (mis., Kota) []:Havana Nama Organisasi (mis., Perusahaan) [Internet Widgits Pty Ltd]:Gratis Nama Unit Organisasi (misalnya, bagian) []:Gratis Nama Umum (misalnya FQDN server atau nama ANDA) []:Mildap.amigos.cu Alamat email []:frodo@amigos.cu Harap masukkan atribut 'ekstra' berikut untuk dikirim bersama permintaan sertifikat Anda Sandi tantangan []:xeon Nama perusahaan opsional []:Freekes ############################################## ###################### ########################## ########################################### : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Menggunakan konfigurasi dari /usr/lib/ssl/openssl.cnf Masukkan frasa sandi untuk ./demoCA/private/cakey.pem:xeon Periksa apakah permintaan sesuai dengan tanda tangan. Tanda tangan ok Rincian Sertifikat: Nomor Seri: bb: 9c: 1b: 72: a7: 1d: d1: e2 Validitas Tidak Sebelum: 21 Nov 05:27:52 2013 GMT Tidak Setelah: 21 November 05 : 27: 52 2014 GMT Subjek: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu Ekstensi X509v3: X509v3 Batasan Dasar: CA: FALSE OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3 Authority Key Pengenal: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Sertifikat akan disertifikasi hingga November 21 05:27:52 2014 GMT (365 hari) Tanda tangani sertifikat? [t / t]:y 1 dari 1 permintaan sertifikat bersertifikat, lakukan? [y / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config tambahkan: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - tambahkan: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certsFile: olcertificateCertificateTertifikat / sCertertifikat dll. /mildap-key.pem : ~ / myca # ldapmodify -Y EKSTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude install ssl-cert : ~ / myca # adduser openldap ssl-cert Menambahkan pengguna `openldap 'ke grup` ssl-cert' ... Menambahkan pengguna openldap ke grup ssl-cert Selesai. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod atau /etc/ssl/private/mildap-key.pem : ~ / myca # service slapd restart [ok] Menghentikan OpenLDAP: slapd. [ok] Memulai OpenLDAP: slapd. : ~ / myca # tail / var / log / syslog
Dengan penjelasan ini dan artikel sebelumnya, sekarang kita dapat menggunakan Wheezy sebagai sistem operasi untuk Layanan Direktori kita.
Lanjutkan bersama kami di angsuran berikutnya !!!.
Bagaimana cara menempatkan jenis sertifikat atau https ini di situs web? tanpa menggunakan perusahaan, entitas, atau halaman eksternal
Apa kegunaan lain yang dimiliki sertifikat Anda?
Dalam contoh, file cacert.pem sertifikat adalah untuk mengaktifkan saluran komunikasi terenkripsi antara klien dan server, baik di server itu sendiri di mana kami memiliki OpenLDAP, atau pada klien yang mengautentikasi terhadap Direktori.
Di server dan di klien, Anda harus mendeklarasikan lokasinya di file /etc/ldap/ldap.conf, seperti yang dijelaskan di artikel sebelumnya:
/Etc/ldap/ldap.conf
DASAR dc = teman, dc = cu
URI ldap: //mildap.amigos.cu
#SIZELIMIT 12
#BATAS WAKTU 15
#DEREF tidak pernah
# Sertifikat TLS (diperlukan untuk GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
Tentu saja, dalam kasus klien, Anda harus menyalin file itu ke folder / etc / ssl / certs. Sejak saat itu, Anda dapat menggunakan StartTLS untuk berkomunikasi dengan server LDAP. Saya sarankan Anda membaca artikel sebelumnya.
salam
Terima kasih telah membagikan info ini bagaimana cara memperbaiki koneksi perangkat audio bluetooth di windows 10