Quy trình cài đặt và cấu hình của tát, cũng như phần còn lại của những gì được chỉ ra trong hai bài viết trước, ngoại trừ phần tạo chứng chỉ, đều có giá trị đối với Wheezy.
Chúng tôi sẽ sử dụng kiểu console chủ yếu vì nó là về các lệnh console. Chúng tôi để lại tất cả các kết quả đầu ra để chúng tôi có được sự rõ ràng và có thể đọc kỹ thông báo nào mà quá trình trả về, nếu không thì chúng tôi hầu như không bao giờ đọc kỹ.
Sự quan tâm lớn nhất mà chúng tôi phải có là khi họ hỏi chúng tôi:
Tên chung (ví dụ: máy chủ FQDN hoặc tên BẠN) []:lightap.amigos.cu
và chúng ta phải viết FQDN từ máy chủ LDAP của chúng tôi, trong trường hợp của chúng tôi là lightap.amigos.cu. Nếu không, chứng chỉ sẽ không hoạt động chính xác.
Để có được chứng chỉ, chúng tôi sẽ làm theo quy trình sau:
: ~ # mkdir / root / myca : ~ # cd / root / myca / : ~ / myca # /usr/lib/ssl/misc/CA.sh -newca Tên tệp chứng chỉ CA (hoặc enter để tạo) Tạo chứng chỉ CA ... Tạo khóa cá nhân RSA 2048 bit ................ +++ ......... ........................... +++ ghi khóa riêng tư mới vào './demoCA/private/./cakey.pem' Nhập cụm từ mật khẩu PEM:xeon Xác minh - Nhập cụm từ mật khẩu PEM:xeon ----- Bạn sắp được yêu cầu nhập thông tin sẽ được đưa vào yêu cầu chứng chỉ của bạn. Những gì bạn sắp nhập được gọi là Tên phân biệt hoặc DN. Có khá nhiều trường nhưng bạn có thể để trống Đối với một số trường sẽ có giá trị mặc định, Nếu bạn nhập '.', Trường sẽ được để trống. ----- Tên quốc gia (mã 2 chữ cái) [AU]:CU Tên Tiểu bang hoặc Tỉnh (tên đầy đủ) [Một số Tiểu bang]:Havana Tên địa phương (ví dụ: thành phố) []:Havana Tên tổ chức (ví dụ: công ty) [Internet Widgits Pty Ltd]:miễn phí Tên đơn vị tổ chức (ví dụ: phần) []:miễn phí Tên chung (ví dụ: máy chủ FQDN hoặc tên BẠN) []:lightap.amigos.cu Địa chỉ email []:frodo@amigos.cu Vui lòng nhập các thuộc tính 'bổ sung' sau để được gửi cùng với yêu cầu chứng chỉ của bạn Mật khẩu thử thách []:xeon Tên công ty tùy chọn []:Freekes Sử dụng cấu hình từ /usr/lib/ssl/openssl.cnf Nhập cụm từ mật khẩu cho ./demoCA/private/./cakey.pem:xeon Kiểm tra xem yêu cầu có khớp với chữ ký Chữ ký ok Chi tiết chứng chỉ: Số sê-ri: bb: 9c: 1b: 72: a7: 1d: d1: e1 Hiệu lực Không trước: 21 tháng 05 23:50:2013 20 GMT Không sau: 05 tháng 23 50 : 2016: 509 3 GMT Chủ đề: countryName = CU stateOrProvinceName = Habana OrganisationName = Freekes organizationUnitName = Freekes commonName = lightap.amigos.cu emailAddress = frodo@amigos.cu Phần mở rộng X509v3: X79v3 Chủ đề Định danh chính: 2: B7: B47: F67: 92: 9: 8: 2F: 1A: C3: 1C: 68C: 4A: 6: FD: D7: F40: D9: 509: 3A X79v3 Định danh chính xác: keyid: 2: B7: B47: F67: 92: 9: 8: 2F: 1A: C3: 1C: 68C: 4A: 6: FD: D7: F40: D9: 509: 3A X20v05 Ràng buộc cơ bản: CA: TRUE Chứng chỉ phải được chứng nhận cho đến ngày 23 tháng 50 2016:1095:1 XNUMX GMT ( XNUMX ngày) Ghi ra cơ sở dữ liệu với XNUMX mục mới Đã cập nhật Cơ sở dữ liệu ####################################### ###################################################### ## ################################################### ## ##### : ~ / myca # openssl req -new -nodes -keyout newreq.pem -out newreq.pem Tạo khóa cá nhân RSA 2048 bit ......... +++ ............................... ............ +++ viết khóa cá nhân mới vào 'newreq.pem' ----- Bạn sắp được yêu cầu nhập thông tin sẽ được kết hợp vào yêu cầu chứng chỉ của bạn. Những gì bạn sắp nhập được gọi là Tên phân biệt hoặc DN. Có khá nhiều trường nhưng bạn có thể để trống Đối với một số trường sẽ có giá trị mặc định, Nếu bạn nhập '.', Trường sẽ được để trống. ----- Tên quốc gia (mã 2 chữ cái) [AU]:CU Tên Tiểu bang hoặc Tỉnh (tên đầy đủ) [Một số Tiểu bang]:Havana Tên địa phương (ví dụ: thành phố) []:Havana Tên tổ chức (ví dụ: công ty) [Internet Widgits Pty Ltd]:miễn phí Tên đơn vị tổ chức (ví dụ: phần) []:miễn phí Tên chung (ví dụ: máy chủ FQDN hoặc tên BẠN) []:lightap.amigos.cu Địa chỉ email []:frodo@amigos.cu Vui lòng nhập các thuộc tính 'bổ sung' sau để được gửi cùng với yêu cầu chứng chỉ của bạn Mật khẩu thử thách []:xeon Tên công ty tùy chọn []:Freekes #################################################### ######################### ############################ ################################################ : ~ / myca # /usr/lib/ssl/misc/CA.sh -sign Sử dụng cấu hình từ /usr/lib/ssl/openssl.cnf Nhập cụm từ mật khẩu cho ./demoCA/private/cakey.pem:xeon Kiểm tra xem yêu cầu có khớp với chữ ký Chữ ký ok Chi tiết chứng chỉ: Số sê-ri: bb: 9c: 1b: 72: a7: 1d: d1: e2 Hiệu lực Không trước: 21 tháng 05 27:52:2013 21 GMT Không phải sau: 05 tháng 27 52 : 2014: 509 3 GMT Chủ đề: countryName = CU stateOrProvinceName = Habana localName = Habana organizationName = Freekes organizationUnitName = Freekes commonName = lightap.amigos.cu emailAddress = frodo@amigos.cu Phần mở rộng X509v3: X509v3 Các hạn chế cơ bản: CA: FALSE Netscape Chứng chỉ đã tạo OpenSSL X80v62 Định danh khóa chủ đề: 8: 44: 5C: 5: 8E: 67C: B1: 5: 3F: E50: C29: 86: 4: 15: BD: E72: 34: 98: 509: 3 X79v3 Khóa cấp quyền Định danh: keyid: 2: B7: B47: F67: 92: 9: 8: 2F: 1A: C3: 1C: 68C: 4A: 6: FD: D7: F40: D9: 21: 05A Chứng chỉ sẽ được chứng nhận cho đến tháng 27 52 2014:365:XNUMX XNUMX GMT (XNUMX ngày) Ký giấy chứng nhận? [y / n]:y 1 trong số 1 yêu cầu chứng chỉ được chứng nhận, cam kết? [y / n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: bb:9c:1b:72:a7:1d:d1:e2 Signature Algorithm: sha1WithRSAEncryption Issuer: C=CU, ST=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Validity Not Before: Nov 21 05:27:52 2013 GMT Not After : Nov 21 05:27:52 2014 GMT Subject: C=CU, ST=Habana, L=Habana, O=Freekes, OU=Freekes, CN=mildap.amigos.cu/emailAddress=frodo@amigos.cu Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c7:52:49:72:dc:93:aa:bc:6c:59:00:5c:08:74: e1:7a:d9:f4:06:04:a5:b5:47:16:6a:ee:e8:37:86: 57:cb:a8:2e:87:13:27:23:ab:5f:85:69:fd:df:ad: db:00:83:43:4d:dc:4f:26:b8:62:d1:b7:5c:60:98: 61:89:ac:e5:e4:99:62:5d:36:cf:94:7d:59:b7:3b: be:dd:14:0d:2e:a3:87:3a:0b:8f:d9:69:58:ee:1e: 82:a8:95:83:80:4b:92:9c:76:8e:35:90:d4:53:71: b2:cf:88:2a:df:6f:17:d0:18:f3:a5:8c:1e:5f:5f: 05:7a:8d:1d:24:d8:cf:d6:11:50:0d:cf:18:2e:7d: 84:7c:3b:7b:20:b5:87:91:e5:ba:13:70:7b:79:3c: 4c:21:df:fb:c6:38:92:93:4d:a7:1c:aa:bd:30:4c: 61:e6:c8:8d:e4:e8:14:4f:75:37:9f:ae:b9:7b:31: 37:e9:bb:73:7f:82:c1:cc:92:21:fd:1a:05:ab:9e: 82:59:c8:f2:95:7c:6b:d4:97:48:8a:ce:c1:d1:26: 7f:be:38:0e:53:a7:03:c6:30:80:43:f4:f6:df:2e: 8f:62:48:a0:8c:30:6b:b6:ba:36:8e:3d:b9:67:a0: 48:a8:12:b7:c9:9a:c6:ba:f5:45:58:c7:a5:1a:e7: 4f:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 80:62:8C:44:5E:5C:B8:67:1F:E5:C3:50:29:86:BD:E4:15:72:34:98 X509v3 Authority Key Identifier: keyid:79:B3:B2:F7:47:67:92:9F:8A:C2:1C:3C:1A:68:FD:D4:F6:D7:40:9A Signature Algorithm: sha1WithRSAEncryption 66:20:5c:6f:58:c1:7d:d7:f6:a9:82:ab:2b:62:15:1f:31:5a: 56:82:0e:ff:73:4f:3f:9b:36:5e:68:24:b4:17:3f:fd:ed:9f: 96:43:70:f2:8b:5f:22:cc:ed:49:cf:84:f3:ce:90:58:fa:9b: 1d:bd:0b:cd:75:f3:3c:e5:fc:a8:e3:b7:8a:65:40:04:1e:61: de:ea:84:39:93:81:c6:f6:9d:cf:5d:d7:35:96:1f:97:8d:dd: 8e:65:0b:d6:c4:01:a8:fc:4d:37:2d:d7:50:fd:f9:22:30:97: 45:f5:64:0e:fa:87:46:38:b3:6f:3f:0f:ef:60:ca:24:86:4d: 23:0c:79:4d:77:fb:f0:de:3f:2e:a3:07:4b:cd:1a:de:4f:f3: 7a:03:bf:a6:d4:fd:20:f5:17:6b:ac:a9:87:e8:71:01:d7:48: 8f:9a:f3:ed:43:60:58:73:62:b2:99:82:d7:98:97:45:09:90: 0c:21:02:82:3b:2a:e7:c7:fe:76:90:00:d9:db:87:c7:e5:93: 14:6a:6e:3b:fd:47:fc:d5:cd:95:a7:cc:ea:49:c0:64:c5:e7: 55:cd:2f:b1:e0:2b:3d:c4:a1:18:77:fb:73:93:69:92:dd:9d: d8:a5:2b:5f:31:25:ea:94:67:49:4e:3f:05:bf:6c:97:a3:1b: 02:bf:2b:b0 -----BEGIN CERTIFICATE----- MIIECjCCAvKgAwIBAgIJALucG3KnHdHiMA0GCSqGSIb3DQEBBQUAMH0xCzAJBgNV BAYTAkNVMQ8wDQYDVQQIDAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNV BAsMB0ZyZWVrZXMxGTAXBgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG 9w0BCQEWD2Zyb2RvQGFtaWdvcy5jdTAeFw0xMzExMjEwNTI3NTJaFw0xNDExMjEw NTI3NTJaMIGOMQswCQYDVQQGEwJDVTEPMA0GA1UECAwGSGF2YW5hMQ8wDQYDVQQH DAZIYXZhbmExEDAOBgNVBAoMB0ZyZWVrZXMxEDAOBgNVBAsMB0ZyZWVrZXMxGTAX BgNVBAMMEG1pbGRhcC5hbWlnb3MuY3UxHjAcBgkqhkiG9w0BCQEWD2Zyb2RvQGFt aWdvcy5jdTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMdSSXLck6q8 bFkAXAh04XrZ9AYEpbVHFmru6DeGV8uoLocTJyOrX4Vp/d+t2wCDQ03cTya4YtG3 XGCYYYms5eSZYl02z5R9Wbc7vt0UDS6jhzoLj9lpWO4egqiVg4BLkpx2jjWQ1FNx ss+IKt9vF9AY86WMHl9fBXqNHSTYz9YRUA3PGC59hHw7eyC1h5HluhNwe3k8TCHf +8Y4kpNNpxyqvTBMYebIjeToFE91N5+uuXsxN+m7c3+CwcySIf0aBaueglnI8pV8 a9SXSIrOwdEmf744DlOnA8YwgEP09t8uj2JIoIwwa7a6No49uWegSKgSt8maxrr1 RVjHpRrnT4sCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3Bl blNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFIBijEReXLhnH+XD UCmGveQVcjSYMB8GA1UdIwQYMBaAFHmzsvdHZ5KfisIcPBpo/dT210CaMA0GCSqG SIb3DQEBBQUAA4IBAQBmIFxvWMF91/apgqsrYhUfMVpWgg7/c08/mzZeaCS0Fz/9 7Z+WQ3Dyi18izO1Jz4TzzpBY+psdvQvNdfM85fyo47eKZUAEHmHe6oQ5k4HG9p3P Xdc1lh+Xjd2OZQvWxAGo/E03LddQ/fkiMJdF9WQO+odGOLNvPw/vYMokhk0jDHlN d/vw3j8uowdLzRreT/N6A7+m1P0g9RdrrKmH6HEB10iPmvPtQ2BYc2KymYLXmJdF CZAMIQKCOyrnx/52kADZ24fH5ZMUam47/Uf81c2Vp8zqScBkxedVzS+x4Cs9xKEY d/tzk2mS3Z3YpStfMSXqlGdJTj8Fv2yXoxsCvyuw -----END CERTIFICATE----- Signed certificate is in newcert.pem ################################################################### ################################################################### : ~ / myca # cp demoCA / cacert.pem / etc / ssl / certs / : ~ / myca # mv newcert.pem /etc/ssl/certs/mildap-cert.pem : ~ / myca # mv newreq.pem /etc/ssl/private/mildap-key.pem : ~ / myca # chmod 600 /etc/ssl/private/mildap-key.pem : ~ / myca # nano certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.peySCFileer / etcertificate v.v. /mildap-key.pem : ~ / myca # ldapmodify -Y NGOÀI -H ldapi: /// -f /root/myca/certinfo.ldif : ~ / myca # aptitude install ssl-cert : ~ / myca # adduser openldap ssl-cert Thêm người dùng `openldap 'vào nhóm` ssl-cert' ... Thêm người dùng openldap vào nhóm ssl-cert Đã xong. : ~ / myca # chgrp ssl-cert /etc/ssl/private/mildap-key.pem : ~ / myca # chmod g + r /etc/ssl/private/mildap-key.pem : ~ / myca # chmod hoặc /etc/ssl/private/mildap-key.pem : ~ / myca # service sld khởi động lại [ok] Dừng OpenLDAP: tát. [ok] Khởi động OpenLDAP: tát. : ~ / myca # tail / var / log / syslog
Với giải thích này và các bài viết trước, bây giờ chúng ta có thể sử dụng Wheezy làm hệ điều hành cho Dịch vụ thư mục của mình.
Tiếp tục đồng hành cùng chúng tôi trong phần tiếp theo !!!.
Làm cách nào để tôi có thể đặt loại chứng chỉ này hoặc https trên trang web? mà không cần đến một công ty, tổ chức hoặc trang bên ngoài
Chứng chỉ của bạn có những công dụng nào khác?
Trong ví dụ, tệp cacert.pem của chứng chỉ là để kích hoạt một kênh giao tiếp được mã hóa giữa máy khách và máy chủ, trên chính máy chủ nơi chúng ta có OpenLDAP hoặc trên máy khách xác thực dựa trên Thư mục.
Trên máy chủ và máy khách, bạn phải khai báo vị trí của chúng trong tệp /etc/ldap/ldap.conf, như được giải thích trong bài viết trước:
Tệp /Etc/ldap/ldap.conf
CƠ SỞ dc = bạn bè, dc = cu
URI ldap: //mildap.amigos.cu
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF không bao giờ
# Chứng chỉ TLS (cần cho GnuTLS)
TLS_CACERT /etc/ssl/certs/cacert.pem
Tất nhiên, trong trường hợp của máy khách, bạn phải sao chép tệp đó vào thư mục / etc / ssl / certs. Từ đó trở đi, bạn có thể sử dụng StartTLS để giao tiếp với máy chủ LDAP. Tôi khuyên bạn nên đọc các bài viết trước.
Liên quan
Cảm ơn bạn đã chia sẻ thông tin này làm cách nào để sửa lỗi kết nối thiết bị âm thanh bluetooth trong windows 10