CentOS 6'da kök sertifika yükleme

9

Zaten sorulduğunu biliyorum, ancak uzun süren araştırmalara rağmen çalışan bir çözüm bulamadım. Kök sertifikamı sunucuma kurmaya çalışıyorum, böylece iç hizmet SSL kullanarak birbirine bağlanabilir.

Yeni kök CA hakkında bilinmesi gerekenler:

  1. Apache httpd ve PHP
  2. OpenLDAP istemcisi
  3. node.js

Apache için kök sertifika hakkında bilmek için bir PHP uygulamasına ihtiyacım var, bu yüzden bir site başka bir SSL web sitesine (aynı CA tarafından imzalanmış) bağlanırsa iyi çalışır ve kendinden imzalı bir sertifikadan şikayet etmez.

OpenLDAP için PHP ile aynı olduğuna inanıyorum, kullandığı modül oldukça eski, PEAR yüklü Net_LDAP2. Yerel openldap yapılandırmasını düzenlemeyi denedim, ancak sistem onu ​​kullanmıyor gibi görünüyor.

Parsoid için kullandığım Son Node.js. Node.js sunucuları, iyi bir SSL bağlantısı oluşturmak için CA'ya güvenmelidir.

Sertifikayı /etc/pki/tls/certs/ca-bundle.crt dosyasına az bir başarıyla eklemeyi denedim.

Httpd kök CA'yı görmese de, tomcat ve 389 gibi diğer hizmetlerin onunla çalışmasını sağladım.

Desteğin için teşekkürler.

centos  ssl  ssl-certificate  certificate-authority  certificate 
John White
kaynak
1
Bunun neredeyse üç ayrı soru olması gerekiyor. Yine de yanlış olabilir, belki de tüm bu hizmetler için bir CA sertifikasına güvenmek için sistem çapında bir yöntem var. Sistem çapında bir yöntem yoksa, yararlı yanıtlar almak için bunun üç ayrı soru olarak ayrılması gerekebilir.
Zoredache
Tam olarak ne denediniz? Oldukça yaygın olarak yapıldığı için bu kolayca araştırılabilir. Sorun yaşıyorsanız neden biliyorsanız, biz daha iyi bir cevap vermek mümkün olabilir SSLCACertificateFilede /etc/httpd/conf.d/ssl.conf, TLS_CACERTiçinde /etc/openldap/ldap.conf, (OpenLDAP Client) TLSCACertificateFileiçinde /etc/openldap/slapd.conf(OpenLDAP Sunucusu), vb ..
Aaron Copley
Bu soruyu yayınlamamın ana nedeni Apache httpd. Sistem çapında sertifikalar okuduğunu düşünüyorum. Ama onları düzenlemek işe yaramadı.
John White

Yanıtlar:

7

RHEL 6 kutumda, man 8 update-ca-trustmanuel sayfanın sistem genelindeki CA sertifikalarının ve ilgili güvenlerin nasıl yönetilebileceği / yönetilmesi gerektiği konusunda oldukça kapsamlı bir açıklaması var.

Daha sık olarak, yapılandırma, yukarıdaki yorumların belirttiği gibi uygulamaya özgü değildir.

HBruijn
kaynak
2
CentOS için böyle bir kılavuz yok. İki sistemin farklı yönetici araçlarına sahip olduğuna inanıyorum.
John White
Çoğunlukla birbirine benziyorlar, ancak böyle küçük farklılıklar her zaman benim açımı kapatıyor. Bu ca-sertifika rpm'sinin bir parçası. Man sayfasının bir kopyasını burada bulabilirsiniz
HBruijn
My CentOS 6.5, update-ca-trust için bir man sayfasına sahiptir. @ Mc120k yüklü ca-sertifikalar-2013 var mı?
8None1
1

SSL'de acemi için daha erişilebilir olması için bazı komut satırları yazdım:

PKI Klasörüne gidin

$ cd /etc/pki/tls/certs/
 

Bağlantıları ve sabit sertifikaları DOĞRULA

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
 

CA zincirini CentOS'a yükle

$ scp <cachain> root@sydapp28:/tmp 
 

CentOS'a SSH (Putty?) Veya yerel bağlantı üzerinden bağlanın 

$ ssh -C root@sydapp28
 

EĞER PKCS12 CAChain: “Dahili CA zinciri sertifikanızı PEM formatına dönüştürün ve başlıkları kaldırın”:

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
 

Dahili CA'nızı CentOS'a ekleyin

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot
Florian Bidabe
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.