OpenLDAPを使用したディレクトリサービス[6]:Debian7「Wheezy」の証明書

fico

8分

のインストールおよび構成手順 slapd、および証明書の生成を除いて、前のXNUMXつの記事に示されている残りの部分は、Wheezyで有効です。

コンソールコマンドに関するものなので、主にコンソールスタイルを使用します。 プロセスがどのメッセージを返すかを明確にし、注意深く読むことができるように、すべての出力を残します。そうしないと、注意深く読むことはほとんどありません。

私たちがしなければならない最大の注意は、彼らが私たちに尋ねるときです:

共通名(例:サーバーFQDNまたはあなたの名前)[]:midap.amigos.cu

そして私たちは書く必要があります FQDN LDAPサーバーから。この場合は midap.amigos.cu。 そうしないと、証明書が正しく機能しません。

証明書を取得するには、次の手順に従います。

:〜#mkdir / root / myca
:〜#cd / root / myca /
:〜/ myca#/ usr / lib / ssl / misc / CA.sh -newca
CA証明書のファイル名(または入力して作成)CA証明書の作成... 2048ビットのRSA秘密鍵の生成................ +++........。 ........................... +++新しい秘密鍵を「./demoCA/private/./cakey.pem」に書き込む
PEMパスフレーズを入力してください:ゼオン
検証-PEMパスフレーズを入力します。xeon -----証明書リクエストに組み込まれる情報の入力を求められようとしています。 入力しようとしているのは、いわゆる識別名またはDNです。 かなりの数のフィールドがありますが、空白のままにすることができます。一部のフィールドにはデフォルト値があります。「。」と入力すると、フィールドは空白のままになります。 -----
国名(2文字コード)[AU]:CU
州または県の名前(フルネーム)[一部の州]:ハバナ
地域名(例:都市)[]:ハバナ
組織名(例:会社)[Internet Widgits Pty Ltd]:フリークス
組織単位名(例:セクション)[]:フリークス
共通名(例:サーバーFQDNまたはあなたの名前)[]:midap.amigos.cu
電子メールアドレス []:frodo@amigos.cu証明書要求とともに送信される次の「追加」属性を入力してください
チャレンジパスワード[]:ゼオン
オプションの会社名[]:/usr/lib/ssl/openssl.cnfからの構成を使用したフリーク
./demoCA/private/./cakey.pemのパスフレーズを入力します。xeonリクエストが署名と一致することを確認します署名ok証明書の詳細:シリアル番号:bb:9c:1b:72:a7:1d:d1:e1有効期限前:21月05日23:50:2013 20 GMT後:05月23 50 :2016:509 3 GMT件名:countryName = CU stateOrProvinceName = HabanaorganizationName = FreekesorganizationalUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3拡張機能:X79v3件名キー識別子:2:B7:B47:F67: 92:9:8:2F:1A:C3:1C:68C:4A:6:FD:D7:F40:D9:509:3A X79v3オーソリティキー識別子:keyid:2:B7:B47:F67:92:9: 8:2F:1A:C3:1C:68C:4A:6:FD:D7:F40:D9:509:3A X20v05基本的な制約:CA:TRUE証明書は23年50月2016日1095:1:XNUMXまで認証されますGMT( XNUMX日)XNUMXつの新しいエントリでデータベースを書き出しますデータベースが更新されました##################################### ################################################### ################################################## #####
:〜/ myca#openssl req -new -nodes -keyout newreq.pem -out newreq.pem
2048ビットのRSA秘密鍵の生成......... +++..............................。 ............ +++ 'newreq.pem'への新しい秘密鍵の書き込み-----証明書要求に組み込まれる情報の入力を求められようとしています。 入力しようとしているのは、いわゆる識別名またはDNです。 かなりの数のフィールドがありますが、空白のままにすることができます。一部のフィールドにはデフォルト値があります。「。」と入力すると、フィールドは空白のままになります。 -----
国名(2文字コード)[AU]:CU
州または県の名前(フルネーム)[一部の州]:ハバナ
地域名(例:都市)[]:ハバナ
組織名(例:会社)[Internet Widgits Pty Ltd]:フリークス
組織単位名(例:セクション)[]:フリークス
共通名(例:サーバーFQDNまたはあなたの名前)[]:midap.amigos.cu
電子メールアドレス []:frodo@amigos.cu証明書要求とともに送信される次の「追加」属性を入力してください
チャレンジパスワード[]:ゼオン
オプションの会社名[]:フリークス################################################# ####################### ############################ #############################################

:〜/ myca#/ usr / lib / ssl / misc / CA.sh -sign
/usr/lib/ssl/openssl.cnfからの構成を使用する
./demoCA/private/cakey.pemのパスフレーズを入力します。xeonリクエストが署名と一致することを確認します署名ok証明書の詳細:シリアル番号:bb:9c:1b:72:a7:1d:d1:e2有効性前ではない:21月05日27:52:2013 21 GMT後ではない:05月27日52 :2014:509 3 GMT件名:countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = FreekesorganizationalUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3拡張機能:X509v3基本的な制約:CA:FALSE Netscapeコメント: OpenSSLで生成された証明書X80v62サブジェクトキー識別子:8:44:5C:5:8E:67C:B1:5:3F:E50:C29:86:4:15:BD:E72:34:98:509:3X79v3オーソリティキー識別子:keyid:2:B7:B47:F67:92:9:8:2F:1A:C3:1C:68C:4A:6:FD:D7:F40:D9:21:05A証明書は27月まで認証されます52 2014:365:XNUMX XNUMX GMT(XNUMX日)
証明書に署名しますか? [y / n]:y

1つの証明書要求のうち1つが認証されました、コミットしますか? [y / n]y
Write out database with 1 new entries
Data Base Updated
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bb:9c:1b:72:a7:1d:d1:e2
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Validity
Not Before: Nov 21 05:27:52 2013 GMT
Not After : Nov 21 05:27:52 2014 GMT
Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74:
e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86:
57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad:
db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98:
61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b:
be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e:
82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71:
b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f:
05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d:
84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c:
4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c:
61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31:
37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e:
82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26:
7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e:
8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0:
48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7:
4f:8b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98
X509v3 Authority Key Identifier:
keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A

Signature Algorithm: sha1WithRSAEncryption
66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a:
56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f:
96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b:
1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61:
de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd:
8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97:
45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d:
23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3:
7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48:
8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90:
0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93:
14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7:
55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d:
d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b:
02:bf:2b:b0
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Signed certificate is in newcert.pem
###################################################################
###################################################################

:〜/ myca#cp demoCA / cacert.pem / etc / ssl / certs /
:〜/ myca#mv newcert.pem /etc/ssl/certs/mildap-cert.pem
:〜/ myca#mv newreq.pem /etc/ssl/private/mildap-key.pem
:〜/ myca#chmod 600 /etc/ssl/private/mildap-key.pem

:〜/ myca#nano certinfo.ldif
dn:cn = config add:olcTLSCACertificateFile olcTLSCACertificateFile:/etc/ssl/certs/cacert.pem-追加:olcTLSCertificateFile olcTLSCertificateFile:/etc/ssl/certs/mildap-cert.pem-追加:olcTLSCertKeySC -key.pem

:〜/ myca#ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/myca/certinfo.ldif

:〜/ myca#aptitude install ssl-cert

:〜/ myca#adduser openldap ssl-cert
グループ `ssl-cert 'へのユーザー` openldap'の追加...グループssl-certへのユーザーopenldapの追加完了。
:〜/ myca#chgrp ssl-cert /etc/ssl/private/mildap-key.pem
:〜/ myca#chmod g + r /etc/ssl/private/mildap-key.pem
:〜/ myca#chmodまたは/etc/ssl/private/mildap-key.pem
:〜/ myca#service slapd restart
[ok] OpenLDAPの停止:slapd。 [ok] OpenLDAPの起動:slapd。

:〜/ myca#tail / var / log / syslog

この説明とこれまでの記事により、ディレクトリサービスのオペレーティングシステムとしてWheezyを使用できるようになりました。

次の記事で私たちと一緒に続けてください!!!。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   sdsfaae
    HACE 10年

    このタイプの証明書またはhttpsをWebサイトに掲載するにはどうすればよいですか? 会社、エンティティ、または外部ページに頼ることなく
    証明書には他にどのような用途がありますか?

    sdsfaaeに返信する
    1.    フェデリコ
      HACE 10年

      この例では、証明書のcacert.pemファイルは、OpenLDAPがあるサーバー自体、またはディレクトリに対して認証を行うクライアントのいずれかで、クライアントとサーバー間の暗号化された通信チャネルをアクティブ化するためのものです。

      前の記事で説明したように、サーバーとクライアントでは、/ etc / ldap /ldap.confファイルでそれらの場所を宣言する必要があります。
      /Etc/ldap/ldap.confファイル

      BASE dc =フレンズ、dc = cu
      URI ldap://mildap.amigos.cu

      #SIZELIMIT 12
      #TIMELIMIT 15
      #DEREF決して

      #TLS証明書(GnuTLSに必要)
      TLS_CACERT /etc/ssl/certs/cacert.pem

      もちろん、クライアントの場合は、そのファイルを/ etc / ssl / certsフォルダーにコピーする必要があります。 それ以降は、StartTLSを使用してLDAPサーバーと通信できます。 前の記事を読むことをお勧めします。

      よろしく

      フェデリコに返信
  2.   ラージャン
    HACE 6年

    この情報を共有してくれてありがとう Windows10でBluetoothオーディオデバイスの接続を修正するにはどうすればよいですか

    ラジャンに返信