La procedura di installazione e configurazione di schiaffo, così come il resto di quanto indicato nei due articoli precedenti, ad eccezione della generazione dei certificati, è valido per Wheezy.
Useremo lo stile della console principalmente poiché riguarda i comandi della console. Lasciamo tutti gli output in modo da ottenere chiarezza e possiamo leggere attentamente quali messaggi ci restituisce il processo, che altrimenti difficilmente leggiamo attentamente.
La massima cura che dobbiamo avere è quando ci chiedono:
Nome comune (ad es. FQDN del server o TUO nome) []:Milap.amigos.cu
e dobbiamo scrivere il file FQDN dal nostro server LDAP, che nel nostro caso è Milap.amigos.cu. In caso contrario, il certificato non funzionerà correttamente.
Per ottenere i certificati seguiremo la seguente procedura:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca Nome file del certificato CA (o immettere per creare) Creazione del certificato CA ... Generazione di una chiave privata RSA a 2048 bit ................ +++ ......... ........................... +++ scrittura della nuova chiave privata in "./demoCA/private/./cakey.pem" Inserisci passphrase PEM:Xeon Verifica - Inserisci passphrase PEM:xeon ----- Stai per essere chiesto di inserire le informazioni che verranno incorporate nella tua richiesta di certificato. Quello che stai per inserire è quello che viene chiamato Distinguished Name o DN. Ci sono alcuni campi ma puoi lasciare alcuni vuoti. Per alcuni campi ci sarà un valore predefinito, se inserisci ".", Il campo verrà lasciato vuoto. ----- Nome paese (codice di 2 lettere) [AU]:CU Nome dello stato o della provincia (nome completo) [Some-State]:Habana Nome località (ad es. Città) []:Habana Nome dell'organizzazione (ad es. Azienda) [Internet Widgits Pty Ltd]:Freeke Nome unità organizzativa (ad es. Sezione) []:Freeke Nome comune (ad es. FQDN del server o TUO nome) []:Milap.amigos.cu Indirizzo email []:frodo@amigos.cu Si prega di inserire i seguenti attributi "extra" da inviare con la richiesta del certificato Una password di verifica []:Xeon Un nome di azienda facoltativo []:Freekes Using configurazione da /usr/lib/ssl/openssl.cnf Immettere la passphrase per ./demoCA/private/./cakey.pem:xeon Verificare che la richiesta corrisponda alla firma Firma ok Dettagli certificato: Numero di serie: bb: 9c: 1b: 72: a7: 1d: d1: e1 Validità non prima: 21 novembre 05:23:50 GMT 2013 Non dopo: 20 novembre 05 : 23: 50 GMT 2016 Oggetto: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu Estensioni X509v3: X509v3 Identificatore chiave oggetto: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Identificatore chiave di autorità: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Vincoli di base X509v3: CA: TRUE Il certificato deve essere certificato fino al 20 novembre 05:23:50 2016 GMT ( 1095 giorni) Scrivi database con 1 nuove voci Database aggiornato #################################### ################################################ ## ############################################## ## ##### : ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem Generazione di una chiave privata RSA a 2048 bit ......... +++ ............................... ............ +++ scrivere una nuova chiave privata su 'newreq.pem' ----- Stai per essere chiesto di inserire le informazioni che verranno incorporate nella richiesta del certificato. Quello che stai per inserire è quello che viene chiamato Distinguished Name o DN. Ci sono parecchi campi ma puoi lasciare alcuni vuoti. Per alcuni campi ci sarà un valore predefinito, se inserisci ".", Il campo sarà lasciato vuoto. ----- Nome paese (codice di 2 lettere) [AU]:CU Nome dello stato o della provincia (nome completo) [Some-State]:Habana Nome località (ad es. Città) []:Habana Nome dell'organizzazione (ad es. Azienda) [Internet Widgits Pty Ltd]:Freeke Nome unità organizzativa (ad es. Sezione) []:Freeke Nome comune (ad es. FQDN del server o TUO nome) []:Milap.amigos.cu Indirizzo email []:frodo@amigos.cu Si prega di inserire i seguenti attributi "extra" da inviare con la richiesta del certificato Una password di verifica []:Xeon Un nome di azienda facoltativo []:Freekes ############################################### ###################### ########################## ########################################### : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Utilizzando la configurazione da /usr/lib/ssl/openssl.cnf Inserisci la passphrase per ./demoCA/private/cakey.pem:xeon Verificare che la richiesta corrisponda alla firma Firma ok Dettagli certificato: Numero di serie: bb: 9c: 1b: 72: a7: 1d: d1: e2 Validità non prima: 21 novembre 05:27:52 GMT 2013 Non dopo: 21 novembre 05 : 27: 52 GMT 2014 Oggetto: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu Estensioni X509v3: X509v3 Vincoli di base: CA: FALSE Commento Netscape: Certificato generato OpenSSL X509v3 Identificatore chiave oggetto: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3 Authority Key Identificatore: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Il certificato deve essere certificato fino a novembre 21 05:27:52 2014 GMT (365 giorni) Firmare il certificato? [y / n]:y 1 richiesta di certificato su 1 certificata, impegnarsi? [y / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - aggiungi: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem / privateSCertificate ecc. -key.pem : ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude install ssl-cert : ~ / myca # adduser openldap ssl-cert Aggiunta dell'utente "openldap" al gruppo "ssl-cert" ... Aggiunta dell'utente openldap al gruppo ssl-cert Fatto. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod o /etc/ssl/private/mildap-key.pem : ~ / myca # service slapd restart [ok] Arresto di OpenLDAP: slapd. [ok] Avvio di OpenLDAP: slapd. : ~ / myca # tail / var / log / syslog
Con questa spiegazione e gli articoli precedenti, ora possiamo utilizzare Wheezy come sistema operativo per il nostro servizio di directory.
Continua con noi nella prossima puntata !!!.
Come posso inserire questo tipo di certificato o https sul sito web? senza ricorrere a una società, entità o pagina esterna
Quali altri usi ha il tuo certificato?
Nell'esempio, il file cacert.pem del certificato serve per attivare un canale di comunicazione crittografato tra il client e il server, o sul server stesso dove abbiamo OpenLDAP, o su un client che si autentica con la Directory.
Sul server e sul client è necessario dichiarare la loro posizione nel file /etc/ldap/ldap.conf, come spiegato nell'articolo precedente:
/Etc/ldap/ldap.conf file
BASE dc = amici, dc = cu
Ldap URI: //mildap.amigos.cu
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF mai
# Certificati TLS (necessari per GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
Ovviamente, nel caso del client, è necessario copiare quel file nella cartella / etc / ssl / certs. Da quel momento in poi, puoi utilizzare StartTLS per comunicare con il server LDAP. Ti consiglio di leggere gli articoli precedenti.
saluti
Grazie per aver condiviso queste informazioni come posso correggere le connessioni dei dispositivi audio Bluetooth in Windows 10