Installations- och konfigurationsproceduren för slag, liksom resten av vad som anges i de två föregående artiklarna, med undantag för genereringen av certifikaten, gäller för Wheezy.
Vi kommer att använda konsolstilen mest eftersom det handlar om konsolkommandon. Vi lämnar alla utgångar så att vi får klarhet och vi kan noga läsa vilka meddelanden processen returnerar till oss, som vi annars nästan aldrig läser noggrant.
Den största försiktighet vi måste ha är när de frågar oss:
Common Name (t.ex. server FQDN eller DITT namn) []:mildap.amigos.cu
och vi måste skriva FQDN från vår LDAP-server, vilket i vårt fall är mildap.amigos.cu. Annars kommer certifikatet inte att fungera korrekt.
För att erhålla certifikaten kommer vi att följa följande procedur:
:~# mkdir /root/myca :~# cd /root/myca/ :~/myca# /usr/lib/ssl/misc/CA.sh -newca CA-certifikatfilnamn (eller ange för att skapa) Gör CA-certifikat ... Genererar en 2048 bitars RSA privat nyckel ................+++ ......... ...........................+++ skriver ny privat nyckel till './demoCA/private/./cakey.pem' Ange PEM-lösenordsfras:xeon Verifierar - Ange PEM-lösenordsfras:xeon ----- Du kommer att bli ombedd att ange information som kommer att införlivas i din certifikatbegäran. Det du är på väg att skriva in är vad som kallas ett Distinguished Name eller ett DN. Det finns ganska många fält men du kan lämna några tomma. För vissa fält kommer det att finnas ett standardvärde. Om du anger '.' kommer fältet att lämnas tomt. ----- Landsnamn (kod på två bokstäver) [AU]:CU Namn på staten eller provinsen (fullständigt namn) [någon stat]:Habana Ortsnamn (t.ex. stad) []:Habana Organisationsnamn (t.ex. företag) [Internet Widgets Pty Ltd]:Freekes Organisationsenhetsnamn (t.ex. avsnitt) []:Freekes Common Name (t.ex. server FQDN eller DITT namn) []:mildap.amigos.cu E-postadress []:frodo@amigos.cu Vänligen ange följande "extra" attribut som ska skickas med din certifikatförfrågan Ett utmaningslösenord []:xeon Ett valfritt företagsnamn []:Freekes Använder konfiguration från /usr/lib/ssl/openssl.cnf Ange lösenordsfras för ./demoCA/private/./cakey.pem:xeon Kontrollera att begäran stämmer överens med signaturen Signatur ok Certifikatdetaljer: Serienummer: bb:9c:1b:72:a7:1d:d1:e1 Giltighet inte före: 21 nov 05:23:50 2013 GMT Inte efter : 20 nov 05 :23:50 2016 GMT Ämne: countryName = CU stateOrProvinceName = Havanna organisationName = Freekes organisationsenhetsnamn = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 tillägg: X509v3 Ämnesnyckelidentifierare: 79:B3:B 2:7:47:67F:92A:C9:8C:2C:1A:3:FD:D1:F68:D4:6:7A X40v9 Auktoritetsnyckelidentifierare: nyckelid:509:B3:B79:F3:2:7: 47:67F:92A:C9:8C:2C:1A:3:FD:D1:F68:D4:6:7A X40v9 Grundläggande begränsningar: CA:TRUE Certifikatet ska certifieras till den 509 november 3:20:05 23 GMT ( 50 dagar) Skriv ut databas med 2016 nya poster Databas uppdaterad #################################### # ############################################### ## ############################################## ## ##### :~/myca# openssl req -new -nodes -keyout newreq.pem -out newreq.pem Genererar en 2048 bitars RSA privat nyckel .........+++ .......................... ..... .......+++ skriver ny privat nyckel till 'newreq.pem' ----- Du är på väg att bli ombedd att ange information som kommer att införlivas i din certifikatbegäran. Det du är på väg att skriva in är vad som kallas ett Distinguished Name eller ett DN. Det finns ganska många fält men du kan lämna några tomma. För vissa fält kommer det att finnas ett standardvärde. Om du anger '.' kommer fältet att lämnas tomt. ----- Landsnamn (kod på två bokstäver) [AU]:CU Namn på staten eller provinsen (fullständigt namn) [någon stat]:Habana Ortsnamn (t.ex. stad) []:Habana Organisationsnamn (t.ex. företag) [Internet Widgets Pty Ltd]:Freekes Organisationsenhetsnamn (t.ex. avsnitt) []:Freekes Common Name (t.ex. server FQDN eller DITT namn) []:mildap.amigos.cu E-postadress []:frodo@amigos.cu Vänligen ange följande "extra" attribut som ska skickas med din certifikatförfrågan Ett utmaningslösenord []:xeon Ett valfritt företagsnamn []:Freekes ############################################### # ###################### ######################### # ############################################ :~/myca# /usr/lib/ssl/misc/CA.sh -sign Använder konfiguration från /usr/lib/ssl/openssl.cnf Ange lösenordsfras för ./demoCA/private/cakey.pem:xeon Kontrollera att begäran stämmer överens med signaturen Signatur ok Certifikatdetaljer: Serienummer: bb:9c:1b:72:a7:1d:d1:e2 Giltighet inte före: 21 nov 05:27:52 2013 GMT Inte efter : 21 nov 05 :27:52 2014 GMT Ämne: countryName = CU stateOrProvinceName = Havanna localityName = Havanna organisationName = Freekes organisationsenhetsnamn = Freekes commonName = mildap.amigos.cu emailAddress = frodo@amigos.cu X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment OpenSSL Generated Certificate X509v3 Ämnesnyckelidentifierare: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 auktoritetsnyckel Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Certifikatet ska certifieras till november 21 05:27:52 2014 GMT (365 dagar) Signera certifikatet? [y/n]:y 1 av 1 certifikatförfrågningar certifierade, commit? [y/n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### :~/myca# cp demoCA/cacert.pem /etc/ssl/certs/ :~/myca# mv newcert.pem /etc/ssl/certs/mildap-cert.pem :~/myca# mv newreq.pem /etc/ssl/private/mildap-key.pem :~/myca# chmod 600 /etc/ssl/private/mildap-key.pem :~/myca# nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFil olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - lägg till: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.cem.scem.cert.pem - -key.pem :~/myca# ldapmodify -Y EXTERN -H ldapi:/// -f /root/myca/certinfo.ldif :~/myca# aptitude installera ssl-cert :~/myca# adduser openldap ssl-cert Lägger till användaren `openldap' till gruppen `ssl-cert' ... Lägger till användaren openldap till gruppen ssl-cert Klar. :~/myca# chgrp ssl-cert /etc/ssl/private/mildap-key.pem :~/myca# chmod g+r /etc/ssl/private/mildap-key.pem :~/myca# chmod eller /etc/ssl/private/mildap-key.pem :~/myca# tjänsten slog omstart [ ok ] Stoppa OpenLDAP: slapd. [ ok ] Startar OpenLDAP: slapd. :~/myca# tail /var/log/syslog
Med denna förklaring och de tidigare artiklarna kan vi nu använda Wheezy som ett operativsystem för vår katalogtjänst.
Fortsätt med oss i nästa omgång !!!.
Hur lägger jag den här typen av certifikat eller https på webbsidan? utan att tillgripa ett företag, en enhet eller en extern sida
Vilka andra användningsområden har ditt certifikat?
I exemplet är cacert.pem-filen för certifikatet för att aktivera en krypterad kommunikationskanal mellan klienten och servern, antingen på själva servern där vi har OpenLDAP, eller på en klient som autentiserar mot katalogen.
På servern och på klienten måste du deklarera dess plats i filen /etc/ldap/ldap.conf, som förklaras i föregående artikel:
Filen /etc/ldap/ldap.conf
BAS dc=vänner,dc=cu
URI ldap://mildap.amigos.cu
#SIZELIMIT 12
#TIDSGRÄNS 15
#DEREF aldrig
# TLS-certifikat (behövs för GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
Naturligtvis, i klientens fall måste du kopiera den filen till mappen /etc/ssl/certs. Därefter kan du använda StartTLS för att kommunicera med LDAP-servern. Jag rekommenderar att du läser de tidigare artiklarna.
hälsningar
Tack för att du delar med dig av denna information hur fixar jag anslutningar för Bluetooth-ljudenheter i Windows 10