Prosedur pemasangan dan konfigurasi tamparan, serta sisa dari apa yang ditunjukkan dalam dua artikel sebelumnya, dengan pengecualian sijil, adalah sah untuk Wheezy.
Kami akan menggunakan gaya konsol terutamanya kerana ia mengenai arahan konsol. Kami meninggalkan semua output sehingga kami mendapat kejelasan dan kami dapat membaca dengan teliti mesej mana yang dikembalikan prosesnya kepada kami, yang sebaliknya kami hampir tidak pernah membaca dengan teliti.
Penjagaan terbesar yang harus kita ada ialah ketika mereka bertanya kepada kita:
Nama Biasa (misalnya pelayan FQDN atau nama ANDA) []:mildap.amigos.cu
dan kita mesti menulis FQDN dari pelayan LDAP kami, yang dalam kes kami adalah mildap.amigos.cu. Jika tidak, sijil tidak akan berfungsi dengan betul.
Untuk mendapatkan sijil, kami akan mengikuti prosedur berikut:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca Nama fail sijil CA (atau masukkan untuk membuat) Membuat sijil CA ... Menghasilkan kunci peribadi RSA 2048 bit ................ +++ ......... ........................... +++ menulis kunci peribadi baru untuk './demoCA/private/./cakey.pem' Masukkan frasa hantaran PEM:Kesempatan Mengesahkan - Masukkan frasa hantaran PEM:xeon ----- Anda akan diminta memasukkan maklumat yang akan dimasukkan ke dalam permintaan sijil anda. Apa yang hendak anda masukkan adalah apa yang disebut Nama Terkenal atau DN. Terdapat beberapa medan tetapi anda boleh meninggalkan kosong Untuk beberapa medan akan ada nilai lalai, Jika anda memasukkan '.', Medan akan dibiarkan kosong. ----- Nama Negara (kod 2 huruf) [AU]:CU Nama Negeri atau Wilayah (nama penuh) [Beberapa Negeri]:Habana Nama Lokasi (contohnya, bandar) []:Habana Nama Organisasi (mis. Syarikat) [Internet Widgits Pty Ltd]:Freekes Nama Unit Organisasi (contoh, bahagian) []:Freekes Nama Biasa (misalnya pelayan FQDN atau nama ANDA) []:mildap.amigos.cu Alamat emel []:frodo@amigos.cu Sila masukkan atribut 'tambahan' berikut untuk dihantar bersama permintaan sijil anda Kata laluan cabaran []:Kesempatan Nama syarikat pilihan []:Freekes Menggunakan konfigurasi dari /usr/lib/ssl/openssl.cnf Masukkan frasa hantaran untuk ./demoCA/private/./cakey.pem:xeon Pastikan permintaan itu sepadan dengan tandatangan Tandatangan ok Butiran Sijil: Nombor Siri: bb: 9c: 1b: 72: a7: 1d: d1: e1 Kesahan Tidak Sebelum: 21 Nov 05:23:50 2013 GMT Tidak Selepas: 20 Nov 05 : 23: 50 2016 Mata Pelajaran GMT: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationNnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu Sambungan X509v3: X509v3 Pengenalan Utama Subjek: 79: B3: B2: B7: B47: B67: B92: B9: B8: B2: B1: B3 1: 68: 4: 6F: 7A: C40: 9C: 509C: 3A: 79: FD: D3: F2: D7: 47: 67A X92v9 Pengecam Kunci Autoriti: keyid: 8: B2: B1: F3: 1: 68: 4: 6F: 7A: C40: 9C: 509C: 3A: 20: FD: D05: F23: D50: 2016: 1095A X1vXNUMX Kekangan Asas: CA: Sijil BENAR hendaklah disahkan sehingga XNUMX Nov XNUMX:XNUMX:XNUMX XNUMX GMT ( XNUMX hari) Tulis pangkalan data dengan XNUMX entri baru Pangkalan Data Dikemas kini ##################################### ################################################# ## ############################################### ## ##### : ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem Menjana kunci peribadi RSA 2048 bit ......... +++ ............................... ............ +++ menulis kunci peribadi baru untuk 'newreq.pem' ----- Anda akan diminta memasukkan maklumat yang akan dimasukkan ke dalam permintaan sijil anda. Apa yang hendak anda masukkan adalah apa yang disebut Nama Cemerlang atau DN. Terdapat beberapa medan tetapi anda boleh membiarkan kosong Untuk beberapa bidang akan ada nilai lalai, Jika anda memasukkan '.', Medan akan dibiarkan kosong. ----- Nama Negara (kod 2 huruf) [AU]:CU Nama Negeri atau Wilayah (nama penuh) [Beberapa Negeri]:Habana Nama Lokasi (contohnya, bandar) []:Habana Nama Organisasi (mis. Syarikat) [Internet Widgits Pty Ltd]:Freekes Nama Unit Organisasi (contoh, bahagian) []:Freekes Nama Biasa (misalnya pelayan FQDN atau nama ANDA) []:mildap.amigos.cu Alamat emel []:frodo@amigos.cu Sila masukkan atribut 'tambahan' berikut untuk dihantar bersama permintaan sijil anda Kata laluan cabaran []:Kesempatan Nama syarikat pilihan []:Freekes ################################################# ################################################# # ############################################ : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Menggunakan konfigurasi dari /usr/lib/ssl/openssl.cnf Masukkan frasa hantaran untuk ./demoCA/private/cakey.pem:xeon Pastikan permintaan itu sepadan dengan tandatangan Tandatangan ok Butiran Sijil: Nombor Siri: bb: 9c: 1b: 72: a7: 1d: d1: e2 Kesahan Tidak Sebelum: 21 Nov 05:27:52 2013 GMT Tidak Selepas: 21 Nov 05 : 27: 52 2014 GMT Mata Pelajaran: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 sambungan: X509v3 Kekangan Asas: CA OpenSSL Generated Certificate X509v3 Subjek Pengecam Utama: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3 Kekunci Kuasa Pengecam: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Sijil hendaklah disahkan sehingga Nov 21 05:27:52 GMT 2014 (365 hari) Tandatangan sijil? [y / n]:y 1 daripada 1 permintaan sijil diperakui, komited? [y / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - tambahkan: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.sert: /mildap-key.pem : ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude install ssl-cert : ~ / myca # adduser openldap ssl-cert Menambah pengguna `openldap 'ke kumpulan` ssl-cert' ... Menambah pengguna openldap ke kumpulan ssl-cert Selesai. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod atau /etc/ssl/private/mildap-key.pem : ~ / myca # perkhidmatan slapd mulakan semula [ok] Menghentikan OpenLDAP: slapd. [ok] Memulakan OpenLDAP: slapd. : ~ / myca # ekor / var / log / syslog
Dengan penjelasan ini dan artikel sebelumnya, kita sekarang dapat menggunakan Wheezy sebagai sistem operasi untuk Perkhidmatan Direktori kami.
Teruskan bersama kami pada ansuran seterusnya !!!.
Bagaimana saya boleh meletakkan sijil atau https jenis ini di laman web? tanpa menggunakan syarikat, entiti atau halaman luaran
Apa lagi kegunaan sijil anda?
Dalam contohnya, fail cacert.pem sijil adalah untuk mengaktifkan saluran komunikasi yang dienkripsi antara klien dan pelayan, sama ada di pelayan itu sendiri di mana kita mempunyai OpenLDAP, atau pada klien yang mengesahkan terhadap Direktori.
Di pelayan dan pelanggan, anda mesti menyatakan lokasi mereka dalam fail /etc/ldap/ldap.conf, seperti yang dijelaskan dalam artikel sebelumnya:
/Etc/ldap/ldap.conf fail
ASAS dc = kawan, dc = cu
URI ldap: //mildap.amigos.cu
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF tidak pernah
# Sijil TLS (diperlukan untuk GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
Sudah tentu, bagi pelanggan, anda mesti menyalin fail tersebut ke folder / etc / ssl / certs. Mulai saat itu, anda boleh menggunakan StartTLS untuk berkomunikasi dengan pelayan LDAP. Saya mengesyorkan anda membaca artikel sebelumnya.
salam
Terima kasih kerana berkongsi maklumat ini bagaimana saya memperbaiki sambungan peranti audio bluetooth di windows 10