הליך ההתקנה והתצורה של ה- סלאפ, כמו גם שאר מה שמצוין בשני המאמרים הקודמים, למעט יצירת האישורים, תקף ל- Wheezy.
נשתמש בסגנון הקונסולה בעיקר מכיוון שמדובר בפקודות קונסולות. אנו משאירים את כל התפוקות כדי שנשיג בהירות ונוכל לקרוא בעיון אילו מסרים התהליך מחזיר לנו, שאם לא כן, כמעט אף פעם אנחנו לא קוראים בעיון.
הטיפול הגדול ביותר שעלינו להיות הוא כאשר הם שואלים אותנו:
שם נפוץ (למשל שרת FQDN או השם שלך) []:mildap.amigos.cu
ועלינו לכתוב את FQDN משרת LDAP שלנו, וזה במקרה שלנו mildap.amigos.cu. אחרת, האישור לא יעבוד כראוי.
לקבלת האישורים, נלך לפי ההליך הבא:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca שם קובץ אישור CA (או הזן כדי ליצור) ביצוע אישור CA ... יצירת מפתח פרטי RSA של 2048 סיביות ................ +++ ......... ........................... +++ כותב מפתח פרטי חדש ל- './demoCA/private/./cakey.pem' הזן משפט ביטוי של PEM:xeon מאמת - הזן משפט ביטוי של PEM:xeon ----- אתה עומד להתבקש להזין מידע שישולב בבקשת האישור שלך. מה שאתה עומד להזין הוא מה שמכונה שם מכובד או DN. ישנם לא מעט שדות, אך ניתן להשאיר חלק ריק. עבור שדות מסוימים יהיה ערך ברירת מחדל, אם תזין '.', השדה יישאר ריק. ----- שם מדינה (קוד בן 2 אותיות) [AU]:CU שם מדינה או מחוז (שם מלא) [מדינה כלשהי]:הבנה שם יישוב (למשל, עיר) []:הבנה שם הארגון (למשל, חברה) [Internet Widgits Pty Ltd]:פריקים שם היחידה הארגונית (למשל, קטע) []:פריקים שם נפוץ (למשל שרת FQDN או השם שלך) []:mildap.amigos.cu כתובת דוא"ל []:frodo@amigos.cu אנא הכנס את המאפיינים 'הנוספים' הבאים שיישלחו עם בקשת האישור שלך סיסמת אתגר []:xeon שם חברה אופציונלי []:Freekes באמצעות תצורה מ /usr/lib/ssl/openssl.cnf הזן ביטוי מעבר עבור ./demoCA/private/./cakey.pem:xeon בדוק שהבקשה תואמת לחתימה חתימה בסדר פרטי תעודה: מספר סידורי: bb: 9c: 1b: 72: a7: 1d: d1: e1 תוקף לא לפני: 21 בנובמבר 05:23:50 2013 GMT לא אחרי: 20 בנובמבר 05 : 23: 50 2016 GMT נושא: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationalUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu סיומות X509v3: X509v3 מזהה מפתח נושא: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 מזהה מפתח רשות: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 מגבלות בסיסיות: CA: תעודת TRUE אמורה להיות מאושרת עד 20 בנובמבר 05:23:50 2016 GMT ( 1095 ימים) כתוב מסד נתונים עם ערכים חדשים 1 בסיס הנתונים עודכן ################################################## ################################################################ # ################################################################# # ##### : ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem יצירת מפתח RSA 2048 סיביות ......... +++ ............................... ............ +++ כותב מפתח פרטי חדש ל- 'newreq.pem' ----- אתה עומד להתבקש להזין מידע שישולב בבקשת האישור שלך. מה שאתה עומד להזין הוא מה שמכונה שם מכובד או DN. ישנם לא מעט שדות, אך ניתן להשאיר חלק ריק. עבור שדות מסוימים יהיה ערך ברירת מחדל, אם תזין '.', השדה יישאר ריק. ----- שם מדינה (קוד בן 2 אותיות) [AU]:CU שם מדינה או מחוז (שם מלא) [מדינה כלשהי]:הבנה שם יישוב (למשל, עיר) []:הבנה שם הארגון (למשל, חברה) [Internet Widgits Pty Ltd]:פריקים שם היחידה הארגונית (למשל, קטע) []:פריקים שם נפוץ (למשל שרת FQDN או השם שלך) []:mildap.amigos.cu כתובת דוא"ל []:frodo@amigos.cu אנא הכנס את המאפיינים 'הנוספים' הבאים שיישלחו עם בקשת האישור שלך סיסמת אתגר []:xeon שם חברה אופציונלי []:Freekes ################################################################# ################################################################ ######################################################## : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign באמצעות תצורה מ /usr/lib/ssl/openssl.cnf הזן משפט ביטוי עבור ./demoCA/private/cakey.pem:xeon בדוק שהבקשה תואמת לחתימה חתימה בסדר פרטי תעודה: מספר סידורי: bb: 9c: 1b: 72: a7: 1d: d1: e2 תוקף לא לפני: 21 בנובמבר 05:27:52 2013 GMT לא אחרי: 21 בנובמבר 05 : 27: 52 2014 GMT נושא: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationalUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 הרחבות: X509v3 אילוצים בסיסיים: CA: FALSE תגובה של Netscape: מזהה מפתח נושא של OpenSSL X509v3: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 מפתח רשות X509v3 מזהה: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A תעודה אמורה להיות מוסמכת עד נובמבר 21 05:27:52 2014 GMT (365 יום) לחתום על האישור? [y / n]:y אחת מכל בקשות האישור מאושרות, מתחייבות? [y / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - הוסף: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.certificate / sertificate וכו '/ mildap-key.pem : ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude להתקין ssl-cert : ~ / myca # adduser openldap ssl-cert הוספת המשתמש 'openldap' לקבוצה 'ssl-cert' ... הוספת openldap המשתמש לקבוצה ssl-cert בוצע. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod או /etc/ssl/private/mildap-key.pem : ~ / myca # הפעלה מחדש של slapd service [בסדר] עצירת OpenLDAP: slapd. [בסדר] הפעלת OpenLDAP: slapd. : ~ / myca # tail / var / log / syslog
עם הסבר זה והמאמרים הקודמים, כעת אנו יכולים להשתמש ב- Wheezy כמערכת ההפעלה עבור שירות הספריות שלנו.
המשך איתנו בפרק הבא !!!.
כיצד אוכל להכניס אישור מסוג זה או https לאתר? מבלי להזדקק לחברה, לגוף או לדף חיצוני
אילו שימושים אחרים יש לתעודה שלך?
בדוגמה, הקובץ cacert.pem של האישור הוא להפעיל ערוץ תקשורת מוצפן בין הלקוח לשרת, על השרת עצמו שבו יש לנו את OpenLDAP, או על לקוח המאמת כנגד הספריה.
בשרת ובלקוח, עליך להצהיר על מיקומם בקובץ /etc/ldap/ldap.conf, כפי שהוסבר במאמר הקודם:
/Etc/ldap/ldap.conf קובץ
BASE dc = חברים, dc = cu
URI ldap: //mildap.amigos.cu
#SIZELIMIT 12
#TIMELIMIT 15
# DEREF אף פעם
# אישורי TLS (דרושים ל- GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
כמובן שבמקרה של הלקוח, עליך להעתיק את הקובץ לתיקייה / etc / ssl / certs. מכאן ואילך, תוכלו להשתמש ב- StartTLS כדי לתקשר עם שרת LDAP. אני ממליץ לך לקרוא את המאמרים הקודמים.
לגבי
תודה ששיתפת מידע זה כיצד אוכל לתקן חיבורי התקני שמע של