Cài đặt chứng chỉ gốc trong CentOS 6

9

Tôi biết nó đã được hỏi, nhưng mặc dù nhiều giờ nghiên cứu tôi không thể tìm ra giải pháp hiệu quả. Tôi đang cố gắng cài đặt chứng chỉ gốc trong máy chủ của mình để dịch vụ nội bộ có thể liên kết với nhau bằng SSL.

Những điều cần biết về CA gốc mới:

Apache httpd và PHP
Ứng dụng khách OpenLDAP
Node.js

Đối với Apache tôi cần một ứng dụng PHP để biết về chứng chỉ gốc, vì vậy nếu một trang web kết nối với một trang web SSL khác (được ký bởi cùng một CA) thì nó hoạt động tốt và nó không phàn nàn về chứng chỉ tự ký.

Đối với OpenLDAP tôi tin rằng nó giống như PHP, mô-đun mà nó sử dụng khá cũ, đó là Net_LDAP2, được cài đặt với PEAR. Tôi đã thử chỉnh sửa cấu hình openldap cục bộ, nhưng có vẻ như hệ thống không sử dụng nó.

Node.js cuối cùng, mà tôi sử dụng cho parsoid. Các máy chủ node.js phải tin tưởng CA để tạo kết nối SSL tốt.

Tôi đã thử thêm chứng chỉ vào /etc/pki/tls/certs/ca-bundle.crt với rất ít thành công.

Mặc dù httpd không thấy CA gốc, tôi đã quản lý để làm cho các dịch vụ khác hoạt động với nó, như tomcat và 389.

Cảm ơn sự hỗ trợ của bạn.

— John White
nguồn

1

Điều này gần như cần phải là ba câu hỏi riêng biệt. Tôi có thể sai mặc dù, có lẽ có một phương pháp toàn hệ thống để tin tưởng chứng chỉ CA cho tất cả các dịch vụ đó. Nếu không có một phương pháp toàn hệ thống, thì việc giải quyết vấn đề này thành ba câu hỏi riêng biệt để có được câu trả lời hữu ích.

— Zoredache

Chính xác những gì bạn đã cố gắng? Đây là công cụ khá dễ nghiên cứu vì nó được thực hiện khá phổ biến. Nếu chúng tôi biết lý do tại sao bạn gặp sự cố, chúng tôi có thể đưa ra câu trả lời tốt hơn SSLCACertificateFiletrong /etc/httpd/conf.d/ssl.conf, TLS_CACERTtrong /etc/openldap/ldap.conf(Máy khách OpenLDAP), TLSCACertificateFiletrong /etc/openldap/slapd.conf(Máy chủ OpenLDAP), v.v.

— Aaron Copley

Apache httpd là lý do chính tại sao tôi đăng câu hỏi này. Tôi nghĩ rằng nó đọc chứng chỉ toàn hệ thống. Nhưng chỉnh sửa chúng không hiệu quả.

— John White

7

Trên hộp RHEL 6 của tôi, man 8 update-ca-trusttrang hướng dẫn có một lời giải thích khá rộng về cách các chứng chỉ CA trên toàn hệ thống và các ủy thác liên quan có thể / nên được quản lý.

Thường thì cấu hình không phải là ứng dụng cụ thể như các ý kiến trên chỉ ra.

— HBruijn
nguồn

2

Không có hướng dẫn sử dụng như vậy cho CentOS. Tôi tin rằng hai hệ thống có các công cụ quản trị khác nhau.

— John White

Chúng hầu như giống nhau nhưng đó là những khác biệt nhỏ như thế luôn làm tôi vấp ngã. Đó là một phần của vòng / phút chứng chỉ ca. Một bản sao của trang người đàn ông có thể được tìm thấy ở đây

— HBruijn

CentOS 6.5 của tôi có trang dành cho cập nhật-ca-tin. @ Mc120k bạn đã cài đặt chứng chỉ ca-2013 chưa?

— 8

1

Tôi đã viết một số dòng lệnh để người mới trong SSL dễ tiếp cận hơn:

Điều hướng đến Thư mục PKI

$ cd /etc/pki/tls/certs/

XÁC MINH (cứng) liên kết và chứng chỉ dự phòng

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak

Tải chuỗi CA lên CentOS

$ scp <cachain> root@sydapp28:/tmp

Kết nối với CentOS thông qua SSH (Putty?) Hoặc cục bộ

$ ssh -C root@sydapp28

NẾU PKCS12 CAChain: Giao dịch Chuyển đổi chứng chỉ chuỗi CA nội bộ của bạn sang định dạng PEM và xóa các tiêu đề.

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem

Nối CA nội bộ của bạn vào CentOS

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot

— Đấu thầu
nguồn