Postup inštalácie a konfigurácie facka, rovnako ako zvyšok toho, čo je uvedené v dvoch predchádzajúcich článkoch, s výnimkou generovania certifikátov, platí pre Wheezy.
Štýl konzoly budeme používať väčšinou preto, lebo sa týka príkazov konzoly. Nechávame všetky výstupy, aby sme získali jasnosť a mohli sme pozorne čítať, ktoré správy nám proces vracia, ktoré inak takmer nikdy pozorne neprečítame.
Najväčšia starostlivosť, ktorú musíme mať, je, keď sa nás pýtajú:
Bežný názov (napr. FQDN servera alebo VAŠE meno) []:mildap.amigos.cu
a musíme napísať FQDN z nášho servera LDAP, čo v našom prípade je mildap.amigos.cu. V opačnom prípade nebude certifikát fungovať správne.
Pri získavaní certifikátov sa budeme riadiť nasledujúcim postupom:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca Názov súboru certifikátu CA (alebo zadajte pre vytvorenie) Vytváranie certifikátu CA ... Generovanie 2048-bitového súkromného kľúča RSA ................ +++ ......... ........................... +++ zápis nového súkromného kľúča do súboru „./demoCA/private/./cakey.pem“ Zadajte prístupovú frázu PEM:Xeon Overuje sa - zadajte prístupovú frázu PEM:xeon ----- Ste vyzvaní k zadaniu informácií, ktoré budú zakomponované do vašej žiadosti o certifikát. Čo sa chystáte zadať je to, čo sa nazýva rozlišujúce meno alebo DN. Existuje pomerne veľa polí, ale niektoré môžete nechať prázdne. Pre niektoré polia bude predvolená hodnota. Ak zadáte „.“, Pole zostane prázdne. ----- Názov krajiny (dvojpísmenový kód) [AU]:CU Názov štátu alebo provincie (celé meno) [Niektorý štát]:Habana Názov lokality (napr. Mesto) []:Habana Názov organizácie (napr. Spoločnosť) [Internet Widgits Pty Ltd]:Freekes Názov organizačnej jednotky (napr. Oddiel) []:Freekes Bežný názov (napr. FQDN servera alebo VAŠE meno) []:mildap.amigos.cu Emailová adresa []:frodo@amigos.cu Zadajte nasledujúce atribúty „navyše“, ktoré sa majú poslať spolu s vašou požiadavkou na certifikát Vyzývacie heslo []:Xeon Nepovinný názov spoločnosti []:Freekes Používanie konfigurácie z /usr/lib/ssl/openssl.cnf Zadajte prístupovú frázu pre ./demoCA/private/./cakey.pem:xeon Skontrolujte, či sa žiadosť zhoduje s podpisom. Podpis v poriadku Podrobnosti o certifikáte: Sériové číslo: bb: 9c: 1b: 72: a7: 1d: d1: e1 Platnosť najskôr: 21. novembra 05:23:50 2013 GMT po: 20. novembra 05 : 23: 50 2016 GMT Predmet: countryName = CU stateOrProvinceName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 rozšírenia: X509v3 Identifikátor kľúča subjektu: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Identifikačný kľúč orgánu X509v3: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A X509v3 Základné obmedzenia: CA: Pravý certifikát sa má certifikovať do 20. novembra 05:23:50 2016 GMT ( 1095 dní) Vypísať databázu s 1 novými položkami Aktualizovaná databáza ######################################## ######################################################## ##################################################### ##### : ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem Generovanie 2048 bitového súkromného kľúča RSA ......... +++ ............................... ............ +++ zápis nového súkromného kľúča do 'newreq.pem' ----- Ste vyzvaní k zadaniu informácií, ktoré budú začlenené do vašej žiadosti o certifikát. Čo sa chystáte zadať je to, čo sa nazýva rozlišujúce meno alebo DN. Existuje pomerne veľa polí, ale niektoré môžete nechať prázdne. Pre niektoré polia bude predvolená hodnota. Ak zadáte „.“, Pole zostane prázdne. ----- Názov krajiny (dvojpísmenový kód) [AU]:CU Názov štátu alebo provincie (celé meno) [Niektorý štát]:Habana Názov lokality (napr. Mesto) []:Habana Názov organizácie (napr. Spoločnosť) [Internet Widgits Pty Ltd]:Freekes Názov organizačnej jednotky (napr. Oddiel) []:Freekes Bežný názov (napr. FQDN servera alebo VAŠE meno) []:mildap.amigos.cu Emailová adresa []:frodo@amigos.cu Zadajte nasledujúce atribúty „navyše“, ktoré sa majú poslať spolu s vašou požiadavkou na certifikát Vyzývacie heslo []:Xeon Nepovinný názov spoločnosti []:Freekes ##################################################### ######################## ############################# ################################################ : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Používa sa konfigurácia z /usr/lib/ssl/openssl.cnf Zadajte prístupovú frázu pre ./demoCA/private/cakey.pem:xeon Skontrolujte, či sa žiadosť zhoduje s podpisom. Podpis v poriadku Podrobnosti o certifikáte: Sériové číslo: bb: 9c: 1b: 72: a7: 1d: d1: e2 Platnosť najskôr: 21. novembra 05:27:52 2013 GMT po: 21. novembra 05 : 27: 52 2014 GMT Subject: countryName = CU stateOrProvinceName = Habana localityName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 rozšírenia: X509v3 Základné obmedzenia: CA: FALSE Komentár k Netscape: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80: 62: 8C: 44: 5E: 5C: B8: 67: 1F: E5: C3: 50: 29: 86: BD: E4: 15: 72: 34: 98 X509v3 Authority Key Identifikátor: keyid: 79: B3: B2: F7: 47: 67: 92: 9F: 8A: C2: 1C: 3C: 1A: 68: FD: D4: F6: D7: 40: 9A Certifikát sa má certifikovať do novembra 21 05:27:52 2014 GMT (365 dní) Podpísať certifikát? [y / n]:y 1 z 1 žiadostí o certifikát certifikovaných, potvrdiť? [y / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCtsertl. /mildap-key.pem : ~ / myca # ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude install ssl-cert : ~ / myca # adduser openldap ssl-cert Pridanie používateľa `openldap 'do skupiny ssl-cert' ... Pridanie používateľa openldap do skupiny ssl-cert Hotovo. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod alebo /etc/ssl/private/mildap-key.pem : ~ / myca # reštart služby slapd [ok] Zastavenie OpenLDAP: slapd. [ok] Spustenie OpenLDAP: slapd. : ~ / myca # tail / var / log / syslog
S týmto vysvetlením a predchádzajúcimi článkami teraz môžeme použiť Wheezy ako operačný systém pre našu adresárovú službu.
Pokračujte s nami v ďalšom pokračovaní !!!.
Ako vložím tento typ certifikátu alebo https na webovú stránku? bez použitia spoločnosti, subjektu alebo externej stránky
Aké ďalšie použitia má váš certifikát?
V tomto príklade je súbor certificate cacert.pem aktivovať šifrovaný komunikačný kanál medzi klientom a serverom, a to buď na samotnom serveri, kde máme OpenLDAP, alebo na klientovi, ktorý sa autentifikuje proti adresáru.
Na serveri a na klientovi musíte deklarovať ich umiestnenie v súbore /etc/ldap/ldap.conf, ako je vysvetlené v predchádzajúcom článku:
Súbor /Etc/ldap/ldap.conf
ZÁKLAD dc = priatelia, dc = cu
URI ldap: //mildap.amigos.cu
#SIZELIMIT 12
#TIMELIMIT 15
# DEREF nikdy
# Certifikáty TLS (potrebné pre GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
V prípade klienta musíte tento súbor samozrejme skopírovať do priečinka / etc / ssl / certs. Od tejto chvíle môžete pomocou protokolu StartTLS komunikovať so serverom LDAP. Odporúčam prečítať si predchádzajúce články.
pozdravy
Ďakujeme za zdieľanie týchto informácií Ako môžem opraviť pripojenia zvukových zariadení Bluetooth v systéme Windows 10