Direktoriju pakalpojums ar OpenLDAP [6]: Debian 7 “Wheezy” sertifikāti

Programmas instalēšana un konfigurēšana iepļaukāt, kā arī pārējais, kas norādīts abos iepriekšējos pantos, izņemot sertifikātu ģenerēšanu, ir derīgs Wheezy.

Mēs galvenokārt izmantosim konsoles stilu, jo tas attiecas uz konsoles komandām. Mēs atstājam visus rezultātus, lai iegūtu skaidrību un mēs varētu uzmanīgi izlasīt, kādus ziņojumus process mums atdod, kurus citādi mēs diez vai kādreiz uzmanīgi lasām.

Vislielākā rūpība mums ir, ja viņi mums jautā:

Parastais nosaukums (piemēram, servera FQDN vai JŪSU vārds) []:mildap.amigos.cu

un mums ir jāraksta FQDN no mūsu LDAP servera, kas mūsu gadījumā ir mildap.amigos.cu. Pretējā gadījumā sertifikāts nedarbosies pareizi.

Lai iegūtu sertifikātus, mēs rīkosimies šādi:

: ~ # mkdir / root / myca
: ~ # cd / root / myca /
: ~ / myca # /usr/lib/ssl/misc/CA.sh -newca
CA sertifikāta faila nosaukums (vai ievadiet, lai izveidotu) Tiek izveidots CA sertifikāts ... Tiek ģenerēta 2048 bitu RSA privātā atslēga ................ +++ ......... ........................... +++ rakstot jaunu privāto atslēgu mapē './demoCA/private/./cakey.pem'
Ievadiet PEM piekļuves frāzi:xeon
Pārbauda - ievadiet PEM piekļuves frāzi:xeon ----- Jums tiks lūgts ievadīt informāciju, kas tiks iekļauta jūsu sertifikāta pieprasījumā. Tas, ko jūs gatavojaties ievadīt, ir tas, ko sauc par atšķirīgu vārdu vai DN. Ir diezgan daudz lauku, bet dažus varat atstāt tukšus. Dažiem laukiem būs noklusējuma vērtība, ja ievadīsit “.”, Lauks paliks tukšs. -----
Valsts nosaukums (2 burtu kods) [ĀS]:CU
Valsts vai provinces nosaukums (pilns nosaukums) [dažas valstis]:Habana
Vietas nosaukums (piemēram, pilsēta) []:Habana
Organizācijas nosaukums (piemēram, uzņēmums) [Internet Widgits Pty Ltd]:Freekes
Organizatoriskā vienības nosaukums (piemēram, sadaļa) []:Freekes
Parastais nosaukums (piemēram, servera FQDN vai JŪSU vārds) []:mildap.amigos.cu
Epasta adrese []:frodo@amigos.cu Lūdzu, ievadiet šādus “extra” atribūtus, kas jānosūta kopā ar sertifikāta pieprasījumu
Izaicinājuma parole []:xeon
Neobligāts uzņēmuma nosaukums []:Freekes Izmantojot konfigurāciju no /usr/lib/ssl/openssl.cnf
Ievadiet ./demoCA/private/./cakey.pem paroles frāzi:xeon Pārbaudiet, vai pieprasījums sakrīt ar parakstu Paraksts ok Sertifikāta informācija: Sērijas numurs: bb: 9c: 1b: 72: a7: 1d: d1: e1 Derīgums nav agrāk: 21. novembris 05:23:50 2013 GMT Nav pēc: 20 05. nov. : 23: 50 2016 GMT Subject: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 extensions: X509v3 Subject Key Identifier: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Iestādes atslēgas identifikators: atslēga: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Pamata ierobežojumi: CA: TRUE sertifikāts ir jāapstiprina līdz 20. gada 05. novembrim 23:50:2016 1095 GMT ( 1 dienas) Izrakstiet datu bāzi ar XNUMX jaunu ierakstu Datu bāze atjaunināta ########################################## ######################################################### ## ####################################################### ## #####
: ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem
2048 bitu RSA privātās atslēgas ģenerēšana ......... +++ ............................... ............ +++ rakstot jaunu privāto atslēgu uz “newreq.pem” ----- Jums tiks lūgts ievadīt informāciju, kas tiks iekļauta jūsu sertifikāta pieprasījumā. Tas, ko jūs gatavojaties ievadīt, ir tas, ko sauc par atšķirīgu vārdu vai DN. Ir diezgan daudz lauku, bet dažus varat atstāt tukšus. Dažiem laukiem būs noklusējuma vērtība, ja ievadīsit “.”, Lauks paliks tukšs. -----
Valsts nosaukums (2 burtu kods) [ĀS]:CU
Valsts vai provinces nosaukums (pilns nosaukums) [dažas valstis]:Habana
Vietas nosaukums (piemēram, pilsēta) []:Habana
Organizācijas nosaukums (piemēram, uzņēmums) [Internet Widgits Pty Ltd]:Freekes
Organizatoriskā vienības nosaukums (piemēram, sadaļa) []:Freekes
Parastais nosaukums (piemēram, servera FQDN vai JŪSU vārds) []:mildap.amigos.cu
Epasta adrese []:frodo@amigos.cu Lūdzu, ievadiet šādus “extra” atribūtus, kas jānosūta kopā ar sertifikāta pieprasījumu
Izaicinājuma parole []:xeon
Neobligāts uzņēmuma nosaukums []:Freekes ######################################################## ######################################################### ###################################################

: ~ / myca # /usr/lib/ssl/misc/CA.sh -sign
Izmantojot konfigurāciju no /usr/lib/ssl/openssl.cnf
Ievadiet ./demoCA/private/cakey.pem paroles frāzi:xeon Pārbaudiet, vai pieprasījums sakrīt ar parakstu Paraksts ok Sertifikāta informācija: Sērijas numurs: bb: 9c: 1b: 72: a7: 1d: d1: e2 Derīgums nav agrāk: 21. novembris 05:27:52 2013 GMT Nav pēc: 21 05 27 : 52: 2014 509 GMT Subject: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X3v509 paplašinājumi: X3v509 pamata ierobežojumi: CA komentārs: CA komentārs: OpenSSL ģenerētais sertifikāts X3v80 Tēmas atslēgas identifikators: 62: 8: 44C: 5: 5E: 8C: B67: 1: 5F: E3: C50: 29: 86: 4: BD: E15: 72: 34: 98: 509 X3v79 autorizācijas atslēga Identifier: keyid: 3: B2: B7: F47: 67: 92: 9: 8F: 2A: C1: 3C: 1C: 68A: 4: FD: D6: F7: D40: 9: 21A Sertifikāts jāapstiprina līdz nov. 05 27:52:2014 365 GMT (XNUMX dienas)
Parakstīt sertifikātu? [y / n]:y

1 no 1 sertifikāta pieprasījumiem ir sertificēts, apņemties? [y / n]y
Write out database with 1 new entries
Data Base Updated
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
bb:9c:1b:72:a7:1d:d1:e2
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Validity
Not Before: Nov 21 05:27:52 2013 GMT
Not After : Nov 21 05:27:52 2014 GMT
Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74:
e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86:
57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad:
db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98:
61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b:
be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e:
82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71:
b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f:
05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d:
84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c:
4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c:
61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31:
37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e:
82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26:
7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e:
8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0:
48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7:
4f:8b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98
X509v3 Authority Key Identifier:
keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A

Signature Algorithm: sha1WithRSAEncryption
66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a:
56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f:
96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b:
1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61:
de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd:
8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97:
45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d:
23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3:
7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48:
8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90:
0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93:
14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7:
55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d:
d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b:
02:bf:2b:b0
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Signed certificate is in newcert.pem
###################################################################
###################################################################

: ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs /
: ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem
: ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem

: ~ / myca # nano certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - pievienot: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem / pievienot / privateKc /mildap-key.pem

: ~ / myca # ldapmodify -Y ĀRĒJĀ -H ldapi: /// -f /root/myca/certinfo.ldif

: ~ / myca # aptitude instalēt ssl-cert

: ~ / myca # adduser openldap ssl-cert
Lietotāja `openldap 'pievienošana grupai` ssl-cert' ... Lietotāja openldap pievienošana grupai ssl-cert Gatavs.
: ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem
: ~ / myca # chmod vai /etc/ssl/private/mildap-key.pem
: ~ / myca # service slapd restart
[ok] OpenLDAP apturēšana: slapd. [ok] Startējot OpenLDAP: slapd.

: ~ / myca # tail / var / log / syslog

Izmantojot šo paskaidrojumu un iepriekšējos rakstus, mēs tagad varam izmantot Wheezy kā mūsu direktoriju dienesta operētājsistēmu.

Turpiniet ar mums nākamajā maksājumā !!!.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

3 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   sdsfaae teica

    Kā es varu ievietot šāda veida sertifikātu vai https vietnē? neizmantojot uzņēmumu, vienību vai ārēju lapu
    Kādi citi ir jūsu sertifikāta izmantošanas veidi?

    1.    Federico teica

      Šajā piemērā sertifikāta cacert.pem failam ir jāaktivizē šifrēts sakaru kanāls starp klientu un serveri vai nu pašā serverī, kur mums ir OpenLDAP, vai klientā, kas autentificējas pret direktoriju.

      Serverī un klientā jums jāpaziņo viņu atrašanās vieta failā /etc/ldap/ldap.conf, kā paskaidrots iepriekšējā rakstā:
      /Etc/ldap/ldap.conf fails

      PAMATOT dc = draugi, dc = cu
      URI ldap: //mildap.amigos.cu

      # ISZELIMIT 12
      # LAIKS 15
      #DEREF nekad

      # TLS sertifikāti (nepieciešami GnuTLS)
      TLS_CACERT /etc/ssl/certs/cacert.pem

      Protams, klienta gadījumā šis fails ir jākopē mapē / etc / ssl / certs. Turpmāk jūs varat izmantot StartTLS, lai sazinātos ar LDAP serveri. Iesaku izlasīt iepriekšējos rakstus.

      Sveicieni

  2.   Rajan teica