Встановіть кореневий сертифікат у CentOS 6

9

Я знаю, що про це вже просили, але, незважаючи на багатогодинні дослідження, я не зміг знайти діючого рішення. Я намагаюся встановити свій кореневий сертифікат на свій сервер, щоб внутрішня служба могла прив’язати один одного за допомогою SSL.

Що слід знати про новий корінь CA:

Apache httpd та PHP
Клієнт OpenLDAP
Node.js

Для Apache мені потрібна програма PHP, щоб знати про кореневий сертифікат, тому якщо сайт підключається до іншого веб-сайту SSL (підписаний тим самим CA), він працює нормально, і він не скаржиться на самопідписаний сертифікат.

Для OpenLDAP я вважаю, що це те саме, що і PHP, модуль, який він використовує, досить старий, це Net_LDAP2, встановлений з PEAR. Я спробував редагувати локальну конфігурацію openldap, але схоже, що система її не використовує.

Останній Node.js, який я використовую для parsoid. Сервери node.js повинні довіряти ЦС, щоб зробити гарне з'єднання SSL.

Я спробував додати сертифікат до /etc/pki/tls/certs/ca-bundle.crt з невеликим успіхом.

Хоча httpd не бачить кореневого CA, мені вдалося змусити інші сервіси працювати з ним, як tomcat і 389.

Спасибі вам за вашу підтримку.

— Джон Уайт
джерело

1

Це майже три питання. Я можу помилитися, хоча, можливо, існує системний метод довірити сертифікат CA для всіх цих служб. Якщо не існує загальносистемного методу, для отримання корисних відповідей може знадобитися розбити це як три окремих питання.

— Зоредаче

Що саме ви спробували? Це досить легко досліджувані речі, оскільки це досить часто робиться. Якщо ми знаємо , чому у вас виникли проблеми, ми могли б бути в змозі дати кращий відповідь , ніж SSLCACertificateFileв /etc/httpd/conf.d/ssl.conf, TLS_CACERTв /etc/openldap/ldap.conf(OpenLDAP Client), TLSCACertificateFileв /etc/openldap/slapd.conf(OpenLDAP сервер), і т.д ..

— Аарон Коплі

Apache httpd - головна причина, чому я опублікував це питання. Я думаю, що він читає загальносистемні сертифікати. Але редагувати їх не вийшло.

— Джон Уайт

7

На моїй скриньці RHEL 6 на man 8 update-ca-trustсторінці керівництва є досить велике пояснення того, як можна / слід керувати загальносистемними сертифікатами CA та пов'язаними з ними трестами.

Найчастіше не конфігурація є специфічною для програми, як вказують вище коментарі.

— HBruijn
джерело

2

Такого посібника для CentOS немає. Я вважаю, що у двох систем є різні інструменти адміністрування.

— Джон Уайт

Вони здебільшого схожі, але такі невеликі відмінності, як завжди, піднімають мене. Це частина ca-сертифікатів rpm. Копію

— довідкової

Мій CentOS 6.5 має довідкову сторінку для оновлення довіри. @ Mc120k у вас встановлені сертифікати ca-2013?

— 8None1

1

Я написав декілька командних рядків, щоб він був доступнішим для початківців у SSL:

Перейдіть до папки PKI

$ cd /etc/pki/tls/certs/

VERIFY (жорсткі) посилання та резервні сертифікати

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak

Завантажте ланцюжок CA в CentOS

$ scp <cachain> root@sydapp28:/tmp

Підключіться до CentOS через SSH (Putty?) Або локальний

$ ssh -C root@sydapp28

ЯКЩО PKCS12 CAChain: "Перетворіть свій внутрішній сертифікат ланцюга CA у формат PEM та видаліть заголовки":

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem

Додайте свій внутрішній CA до CentOS

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot

— Флоріан Бідабе
джерело