Installasjons- og konfigurasjonsprosedyren for dask, så vel som resten av det som er angitt i de to forrige artiklene, med unntak av generering av sertifikatene, er gyldig for Wheezy.
Vi vil bruke konsollstilen hovedsakelig siden det handler om konsollkommandoer. Vi legger igjen alle utgangene slik at vi får klarhet og kan lese nøye hvilke meldinger prosessen returnerer, som vi ellers nesten aldri leser nøye.
Den største omsorg vi må ha er når de spør oss:
Vanlig navn (f.eks. Server FQDN eller DITT navn) []:mildap.amigos.cu
og vi må skrive FQDN fra LDAP-serveren vår, som i vårt tilfelle er mildap.amigos.cu. Ellers fungerer ikke sertifikatet riktig.
For å få sertifikatene vil vi følge følgende prosedyre:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca CA-sertifikatfilnavn (eller skriv inn for å opprette) Lage CA-sertifikat ... Genererer en 2048 bit RSA privat nøkkel ................ +++ ......... ........................... +++ skriver ny privat nøkkel til './demoCA/private/./cakey.pem' Skriv inn PEM-passord:Xeon Bekreftelse - Skriv inn PEM-passord:xeon ----- Du er i ferd med å bli bedt om å legge inn informasjon som vil bli innlemmet i sertifikatforespørselen din. Det du er i ferd med å skrive inn er det som kalles et fremtredende navn eller en DN. Det er ganske mange felt, men du kan la være tomme. For noen felt vil det være en standardverdi. Hvis du skriver inn '.', Vil feltet stå tomt. ----- Landets navn (2 bokstavskoder) [AU]:CU Navn på stat eller provins (fullt navn) [Noen stat]:Habana Stedsnavn (f.eks. By) []:Habana Organisasjonsnavn (f.eks. Selskap) [Internet Widgits Pty Ltd]:Freekes Organisasjonsenhetsnavn (f.eks. Seksjon) []:Freekes Vanlig navn (f.eks. Server FQDN eller DITT navn) []:mildap.amigos.cu Epostadresse []:frodo@amigos.cu Vennligst skriv inn følgende "ekstra" attributter som skal sendes sammen med sertifikatforespørselen din Et utfordringspassord []:Xeon Et valgfritt firmanavn []:Freekes Bruker konfigurasjon fra /usr/lib/ssl/openssl.cnf Angi passord for ./demoCA/private/./cakey.pem:xeon Kontroller at forespørselen samsvarer med signaturen Signatur ok Sertifikatdetaljer: Serienummer: bb: 9c: 1b: 72: a7: 1d: d1: e1 Gyldighet ikke før: 21. nov. 05:23:50 2013 GMT Ikke etter: 20. november 05 : 23: 50 2016 GMT Emne: countryName = CU stateOrProvinceName = Habana organisasjonsnavn = Freekes organizationalUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 utvidelser: X509v3 Emne nøkkelidentifikator: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Autoritetsnøkkelidentifikator: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Grunnleggende begrensninger: CA: SANT Sertifikat skal sertifiseres til 20. november 05:23:50 2016 GMT ( 1095 dager) Skriv ut database med 1 nye oppføringer Database Oppdatert ################################################################## ####################################################################### ################################################################## ##### : ~ / myca # openssl req -nye -noder -keyout newreq.pem -out newreq.pem Genererer en 2048 bit RSA privat nøkkel ......... +++ ............................... ............ +++ skrive ny privat nøkkel til 'newreq.pem' ----- Du er i ferd med å bli bedt om å legge inn informasjon som vil bli integrert i sertifikatforespørselen din. Det du er i ferd med å skrive inn er det som kalles et fremtredende navn eller en DN. Det er ganske mange felt, men du kan la være tomme. For noen felt vil det være en standardverdi. Hvis du skriver inn '.', Vil feltet stå tomt. ----- Landets navn (2 bokstavskoder) [AU]:CU Navn på stat eller provins (fullt navn) [Noen stat]:Habana Stedsnavn (f.eks. By) []:Habana Organisasjonsnavn (f.eks. Selskap) [Internet Widgits Pty Ltd]:Freekes Organisasjonsenhetsnavn (f.eks. Seksjon) []:Freekes Vanlig navn (f.eks. Server FQDN eller DITT navn) []:mildap.amigos.cu Epostadresse []:frodo@amigos.cu Vennligst skriv inn følgende "ekstra" attributter som skal sendes sammen med sertifikatforespørselen din Et utfordringspassord []:Xeon Et valgfritt firmanavn []:Freekes ############################################################################# ########################## ######################################## ######################################################### : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Bruker konfigurasjon fra /usr/lib/ssl/openssl.cnf Angi passord for ./demoCA/private/cakey.pem:xeon Kontroller at forespørselen samsvarer med signaturen Signatur ok Sertifikatdetaljer: Serienummer: bb: 9c: 1b: 72: a7: 1d: d1: e2 Gyldighet Ikke før: 21. nov 05:27:52 2013 GMT Ikke etter: 21. nov 05 : 27: 52 2014 GMT Emne: countryName = CU stateOrProvinceName = Habana localityName = Habana organisasjonsnavn = Freekes organizationalUnitName = Freekes fellesnavn = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 utvidelser: X509v3 Grunnleggende begrensninger: CA: FALSE Netscape Kommentar: OpenSSL-generert sertifikat X509v3 emnøkkelidentifikator: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3 autorisasjonsnøkkel Identifikator: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Sertifikatet skal sertifiseres til november 21 05:27:52 GMT (2014 dager) Vil du signere sertifikatet? [y / n]:y 1 av 1 sertifikatforespørsler sertifisert, begå? [y / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - legg til: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.cem / Sertifikat / sertifikat / sertifikat / sertifikat etc. /mildap-key.pem : ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude install ssl-cert : ~ / myca # adduser openldap ssl-cert Legge til brukeren 'openldap' til gruppen 'ssl-cert' ... Legge til brukeren openldap til gruppen ssl-cert Utført. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod eller /etc/ssl/private/mildap-key.pem : ~ / myca # service slapd restart [ok] Stopper OpenLDAP: slapd. [ok] Starter OpenLDAP: slapd. : ~ / myca # tail / var / log / syslog
Med denne forklaringen og de foregående artiklene kan vi nå bruke Wheezy som operativsystem for katalogtjenesten vår.
Fortsett med oss i neste avdrag !!!.
Hvordan legger jeg denne typen sertifikat eller https på nettstedet? uten å ty til et selskap, en enhet eller en ekstern side
Hvilke andre bruksområder har sertifikatet ditt?
I eksemplet er cacert.pem-filen til sertifikatet å aktivere en kryptert kommunikasjonskanal mellom klienten og serveren, enten på selve serveren der vi har OpenLDAP, eller på en klient som autentiserer mot katalogen.
På serveren og på klienten må du oppgi plasseringen i /etc/ldap/ldap.conf-filen, som forklart i forrige artikkel:
/Etc/ldap/ldap.conf-fil
BASE dc = venner, dc = cu
URI ldap: //mildap.amigos.cu
# STØRRELSE 12
#TIMELIMIT 15
#DEREF aldri
# TLS-sertifikater (nødvendig for GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
Selvfølgelig når det gjelder klienten, må du kopiere den filen til / etc / ssl / certs-mappen. Fra da av kan du bruke StartTLS til å kommunisere med LDAP-serveren. Jeg anbefaler deg å lese de foregående artiklene.
Hilsen
Takk for at du deler denne informasjonen hvordan fikser jeg tilkoblinger av Bluetooth-lydenheter i Windows 10