De installatie- en configuratieprocedure van het klap, evenals de rest van wat is aangegeven in de twee voorgaande artikelen, met uitzondering van het genereren van de certificaten, is geldig voor Wheezy.
We zullen de consolestijl meestal gebruiken omdat het gaat om console-opdrachten. We laten alle outputs achter zodat we duidelijkheid krijgen en goed kunnen lezen welke berichten het proces naar ons terugkeert, die we anders bijna nooit aandachtig lezen.
De grootste zorg die we moeten hebben, is wanneer ze ons vragen:
Algemene naam (bijv. Server FQDN of UW naam) []:mildap.amigos.cu
en we moeten de FQDN van onze LDAP-server, wat in ons geval is mildap.amigos.cu. Anders werkt het certificaat niet correct.
Om de certificaten te behalen, volgen we de volgende procedure:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca Bestandsnaam CA-certificaat (of voer in om te maken) CA-certificaat maken ... Een persoonlijke RSA-sleutel van 2048 bits genereren ................ +++ ......... ........................... +++ schrijft nieuwe privésleutel naar './demoCA/private/./cakey.pem' Voer PEM-wachtwoordzin in:xeon Verifiëren - Voer het PEM-wachtwoord in:xeon ----- U staat op het punt om informatie in te voeren die zal worden opgenomen in uw certificaataanvraag. Wat u gaat invoeren, is een zogenaamde Distinguished Name of een DN. Er zijn nogal wat velden, maar u kunt enkele velden leeg laten. Voor sommige velden is er een standaardwaarde. Als u '.' Invoert, wordt het veld leeg gelaten. ----- Landnaam (code van 2 letters) [AU]:CU Naam staat of provincie (volledige naam) [Sommige staat]:Havana Plaatsnaam (bijv. Stad) []:Havana Organisatienaam (bijv. Bedrijf) [Internet Widgits Pty Ltd]:Freekes Naam organisatie-eenheid (bijvoorbeeld sectie) []:Freekes Algemene naam (bijv. Server FQDN of UW naam) []:mildap.amigos.cu E-mailadres []:frodo@amigos.cu Voer de volgende 'extra' attributen in om mee te sturen met uw certificaataanvraag Een uitdagingswachtwoord []:xeon Een optionele bedrijfsnaam []:Freekes Configuratie gebruiken van /usr/lib/ssl/openssl.cnf Voer een wachtwoordzin in voor ./demoCA/private/./cakey.pem:xeon Controleer of het verzoek overeenkomt met de handtekening Handtekening ok Certificaatgegevens: Serienummer: bb: 9c: 1b: 72: a7: 1d: d1: e1 Geldigheid Niet voor: 21 november 05:23:50 2013 GMT Niet na: 20 november 05 : 23: 50 2016 GMT Onderwerp: countryName = CU stateOrProvinceName = Habana organisationName = Freekes organisationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 extensies: X509v3 Subject Key Identifier: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Identificatie van autoriteitssleutel: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Basisbeperkingen: CA: TRUE Certificaat moet worden gecertificeerd tot 20 november 05:23:50 2016 GMT ( 1095 dagen) Database uitschrijven met 1 nieuwe invoer Database bijgewerkt #################################### ################################################## # ############################################################################## # ##### : ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem Een 2048-bits privé RSA-sleutel genereren ......... +++ ............................... ............ +++ schrijft nieuwe privésleutel naar 'newreq.pem' ----- U staat op het punt om informatie in te voeren die zal worden opgenomen in uw certificaatverzoek. Wat u gaat invoeren, is een zogenaamde Distinguished Name of een DN. Er zijn nogal wat velden, maar u kunt enkele velden leeg laten. Voor sommige velden is er een standaardwaarde. Als u '.' Invoert, blijft het veld leeg. ----- Landnaam (code van 2 letters) [AU]:CU Naam staat of provincie (volledige naam) [Sommige staat]:Havana Plaatsnaam (bijv. Stad) []:Havana Organisatienaam (bijv. Bedrijf) [Internet Widgits Pty Ltd]:Freekes Naam organisatie-eenheid (bijvoorbeeld sectie) []:Freekes Algemene naam (bijv. Server FQDN of UW naam) []:mildap.amigos.cu E-mailadres []:frodo@amigos.cu Voer de volgende 'extra' attributen in om mee te sturen met uw certificaataanvraag Een uitdagingswachtwoord []:xeon Een optionele bedrijfsnaam []:Freekes ################################################# ####################### ############################ # ###################################################################### : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Met behulp van configuratie van /usr/lib/ssl/openssl.cnf Voer een wachtwoordzin in voor ./demoCA/private/cakey.pem:xeon Controleer of het verzoek overeenkomt met de handtekening Handtekening ok Certificaatgegevens: Serienummer: bb: 9c: 1b: 72: a7: 1d: d1: e2 Geldigheid Niet voor: 21 november 05:27:52 2013 GMT Niet na: 21 november 05 : 27: 52 2014 GMT Onderwerp: countryName = CU stateOrProvinceName = Habana localityName = Habana organisationName = Freekes organisationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 extensies: X509v3 Basic Constraints: CA: FALSE Netscape Comment: Door OpenSSL gegenereerd certificaat X509v3 Onderwerpsleutelidentificatie: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3-autoriteitssleutel Identifier: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Certificaat moet worden gecertificeerd tot november 21 05:27:52 2014 GMT (365 dagen) Certificaat ondertekenen? [j / n]:y 1 op 1 certificaatverzoeken gecertificeerd, vastleggen? [j / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - toevoegen: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem / etc: olcTLSCertificateFile / etc: /mildap-key.pem : ~ / myca # ldapmodify -Y EXTERN -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude install ssl-cert : ~ / myca # adduser openldap ssl-cert Gebruiker `openldap 'aan groep` ssl-cert' toevoegen ... Gebruiker openldap aan groep ssl-cert toevoegen Klaar. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod of /etc/ssl/private/mildap-key.pem : ~ / myca # service slapd herstart [ok] OpenLDAP stoppen: slapd. [ok] OpenLDAP starten: slapd. : ~ / myca # tail / var / log / syslog
Met deze uitleg en de voorgaande artikelen kunnen we Wheezy nu gebruiken als besturingssysteem voor onze Directory Service.
Ga verder met ons in de volgende aflevering !!!.
Hoe plaats ik dit type certificaat of https op de website? zonder toevlucht te nemen tot een bedrijf, entiteit of externe pagina
Welke andere toepassingen heeft uw certificaat?
In het voorbeeld is het bestand cacert.pem van het certificaat bedoeld om een gecodeerd communicatiekanaal tussen de client en de server te activeren, ofwel op de server zelf waarop we de OpenLDAP hebben, of op een client die authenticeert tegen de Directory.
Op de server en op de client moet u hun locatie aangeven in het bestand /etc/ldap/ldap.conf, zoals uitgelegd in het vorige artikel:
/Etc/ldap/ldap.conf bestand
BASE dc = vrienden, dc = cu
URI ldap: //mildap.amigos.cu
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF nooit
# TLS-certificaten (nodig voor GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
In het geval van de client moet u dat bestand natuurlijk naar de map / etc / ssl / certs kopiëren. Vanaf dat moment kunt u StartTLS gebruiken om te communiceren met de LDAP-server. Ik raad u aan de voorgaande artikelen te lezen.
groeten
Bedankt voor het delen van deze info hoe repareer ik verbindingen van bluetooth-audioapparaten in Windows 10