שירות מדריכים עם OpenLDAP [6]: אישורים בדביאן 7 "Wheezy"

הליך ההתקנה והתצורה של ה- סלאפ, כמו גם שאר מה שמצוין בשני המאמרים הקודמים, למעט יצירת האישורים, תקף ל- Wheezy.

נשתמש בסגנון הקונסולה בעיקר מכיוון שמדובר בפקודות קונסולות. אנו משאירים את כל התפוקות כדי שנשיג בהירות ונוכל לקרוא בעיון אילו מסרים התהליך מחזיר לנו, שאם לא כן, כמעט אף פעם אנחנו לא קוראים בעיון.

הטיפול הגדול ביותר שעלינו להיות הוא כאשר הם שואלים אותנו:

שם נפוץ (למשל שרת FQDN או השם שלך) []:mildap.amigos.cu

ועלינו לכתוב את FQDN משרת LDAP שלנו, וזה במקרה שלנו mildap.amigos.cu. אחרת, האישור לא יעבוד כראוי.

לקבלת האישורים, נלך לפי ההליך הבא:

: ~ # mkdir / root / myca
: ~ # cd / root / myca /
: ~ / myca # /usr/lib/ssl/misc/CA.sh -newca
שם קובץ אישור CA (או הזן כדי ליצור) ביצוע אישור CA ... יצירת מפתח פרטי RSA של 2048 סיביות ................ +++ ......... ........................... +++ כותב מפתח פרטי חדש ל- './demoCA/private/./cakey.pem'
הזן משפט ביטוי של PEM:xeon
מאמת - הזן משפט ביטוי של PEM:xeon ----- אתה עומד להתבקש להזין מידע שישולב בבקשת האישור שלך. מה שאתה עומד להזין הוא מה שמכונה שם מכובד או DN. ישנם לא מעט שדות, אך ניתן להשאיר חלק ריק. עבור שדות מסוימים יהיה ערך ברירת מחדל, אם תזין '.', השדה יישאר ריק. -----
שם מדינה (קוד בן 2 אותיות) [AU]:CU
שם מדינה או מחוז (שם מלא) [מדינה כלשהי]:הבנה
שם יישוב (למשל, עיר) []:הבנה
שם הארגון (למשל, חברה) [Internet Widgits Pty Ltd]:פריקים
שם היחידה הארגונית (למשל, קטע) []:פריקים
שם נפוץ (למשל שרת FQDN או השם שלך) []:mildap.amigos.cu
כתובת דוא"ל []:frodo@amigos.cu אנא הכנס את המאפיינים 'הנוספים' הבאים שיישלחו עם בקשת האישור שלך
סיסמת אתגר []:xeon
שם חברה אופציונלי []:Freekes באמצעות תצורה מ /usr/lib/ssl/openssl.cnf
הזן ביטוי מעבר עבור ./demoCA/private/./cakey.pem:xeon בדוק שהבקשה תואמת לחתימה חתימה בסדר פרטי תעודה: מספר סידורי: bb: 9c: 1b: 72: a7: 1d: d1: e1 תוקף לא לפני: 21 בנובמבר 05:23:50 2013 GMT לא אחרי: 20 בנובמבר 05 : 23: 50 2016 GMT נושא: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationalUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu סיומות X509v3: X509v3 מזהה מפתח נושא: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 מזהה מפתח רשות: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 מגבלות בסיסיות: CA: תעודת TRUE אמורה להיות מאושרת עד 20 בנובמבר 05:23:50 2016 GMT ( 1095 ימים) כתוב מסד נתונים עם ערכים חדשים 1 בסיס הנתונים עודכן ################################################## ################################################################ # ################################################################# # #####
: ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem
יצירת מפתח RSA 2048 סיביות ......... +++ ............................... ............ +++ כותב מפתח פרטי חדש ל- 'newreq.pem' ----- אתה עומד להתבקש להזין מידע שישולב בבקשת האישור שלך. מה שאתה עומד להזין הוא מה שמכונה שם מכובד או DN. ישנם לא מעט שדות, אך ניתן להשאיר חלק ריק. עבור שדות מסוימים יהיה ערך ברירת מחדל, אם תזין '.', השדה יישאר ריק. -----
שם מדינה (קוד בן 2 אותיות) [AU]:CU
שם מדינה או מחוז (שם מלא) [מדינה כלשהי]:הבנה
שם יישוב (למשל, עיר) []:הבנה
שם הארגון (למשל, חברה) [Internet Widgits Pty Ltd]:פריקים
שם היחידה הארגונית (למשל, קטע) []:פריקים
שם נפוץ (למשל שרת FQDN או השם שלך) []:mildap.amigos.cu
כתובת דוא"ל []:frodo@amigos.cu אנא הכנס את המאפיינים 'הנוספים' הבאים שיישלחו עם בקשת האישור שלך
סיסמת אתגר []:xeon
שם חברה אופציונלי []:Freekes ################################################################# ################################################################ ########################################################

: ~ / myca # /usr/lib/ssl/misc/CA.sh -sign
באמצעות תצורה מ /usr/lib/ssl/openssl.cnf
הזן משפט ביטוי עבור ./demoCA/private/cakey.pem:xeon בדוק שהבקשה תואמת לחתימה חתימה בסדר פרטי תעודה: מספר סידורי: bb: 9c: 1b: 72: a7: 1d: d1: e2 תוקף לא לפני: 21 בנובמבר 05:27:52 2013 GMT לא אחרי: 21 בנובמבר 05 : 27: 52 2014 GMT נושא: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationalUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 הרחבות: X509v3 אילוצים בסיסיים: CA: FALSE תגובה של Netscape: מזהה מפתח נושא של OpenSSL X509v3: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 מפתח רשות X509v3 מזהה: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A תעודה אמורה להיות מוסמכת עד נובמבר 21 05:27:52 2014 GMT (365 יום)
לחתום על האישור? [y / n]:y

אחת מכל בקשות האישור מאושרות, מתחייבות? [y / n]y
Write out database with 1 new entries
Data Base Updated
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bb:9c:1b:72:a7:1d:d1:e2
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Validity
Not Before: Nov 21 05:27:52 2013 GMT
Not After : Nov 21 05:27:52 2014 GMT
Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74:
e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86:
57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad:
db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98:
61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b:
be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e:
82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71:
b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f:
05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d:
84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c:
4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c:
61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31:
37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e:
82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26:
7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e:
8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0:
48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7:
4f:8b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98
X509v3 Authority Key Identifier:
keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A

Signature Algorithm: sha1WithRSAEncryption
66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a:
56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f:
96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b:
1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61:
de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd:
8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97:
45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d:
23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3:
7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48:
8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90:
0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93:
14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7:
55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d:
d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b:
02:bf:2b:b0
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Signed certificate is in newcert.pem
###################################################################
###################################################################

: ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs /
: ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem
: ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem

: ~ / myca # nano certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - הוסף: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.certificate / sertificate וכו '/ mildap-key.pem

: ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif

: ~ / myca # aptitude להתקין ssl-cert

: ~ / myca # adduser openldap ssl-cert
הוספת המשתמש 'openldap' לקבוצה 'ssl-cert' ... הוספת openldap המשתמש לקבוצה ssl-cert בוצע.
: ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod או /etc/ssl/private/mildap-key.pem
: ~ / myca # הפעלה מחדש של slapd service
[בסדר] עצירת OpenLDAP: slapd. [בסדר] הפעלת OpenLDAP: slapd.

: ~ / myca # tail / var / log / syslog

עם הסבר זה והמאמרים הקודמים, כעת אנו יכולים להשתמש ב- Wheezy כמערכת ההפעלה עבור שירות הספריות שלנו.

המשך איתנו בפרק הבא !!!.


3 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   sdsfaae דיג'ו

    כיצד אוכל להכניס אישור מסוג זה או https לאתר? מבלי להזדקק לחברה, לגוף או לדף חיצוני
    אילו שימושים אחרים יש לתעודה שלך?

    1.    פדריקו דיג'ו

      בדוגמה, הקובץ cacert.pem של האישור הוא להפעיל ערוץ תקשורת מוצפן בין הלקוח לשרת, על השרת עצמו שבו יש לנו את OpenLDAP, או על לקוח המאמת כנגד הספריה.

      בשרת ובלקוח, עליך להצהיר על מיקומם בקובץ /etc/ldap/ldap.conf, כפי שהוסבר במאמר הקודם:
      /Etc/ldap/ldap.conf קובץ

      BASE dc = חברים, dc = cu
      URI ldap: //mildap.amigos.cu

      #SIZELIMIT 12
      #TIMELIMIT 15
      # DEREF אף פעם

      # אישורי TLS (דרושים ל- GnuTLS)
      TLS_CACERT /etc/ssl/certs/cacert.pem

      כמובן שבמקרה של הלקוח, עליך להעתיק את הקובץ לתיקייה / etc / ssl / certs. מכאן ואילך, תוכלו להשתמש ב- StartTLS כדי לתקשר עם שרת LDAP. אני ממליץ לך לקרוא את המאמרים הקודמים.

      לגבי

  2.   ראג'אן דיג'ו