Instale um certificado raiz no CentOS 6

Navegue suas respostas
8

Eu sei que já foi perguntado, mas apesar de muitas horas de pesquisa, não consegui encontrar uma solução de trabalho. Eu estou tentando instalar o meu certificado raiz no meu servidor, então o serviço interno pode ligar uns aos outros usando SSL.

O que deve saber sobre a nova autoridade de certificação raiz:

  1. Apache httpd e PHP
  2. Cliente OpenLDAP
  3. Node.js

Para o Apache, eu preciso de um aplicativo PHP para saber sobre o certificado raiz, portanto, se um site se conecta a outro site SSL (assinado pela mesma CA), ele funciona bem e não reclama de um certificado autoassinado. / p>

Para o OpenLDAP eu acredito que seja o mesmo que o PHP, o módulo que ele usa é bem antigo, é o Net_LDAP2, instalado com o PEAR. Eu tentei editar a configuração openldap local, mas parece que o sistema não está usando.

Último Node.js, que eu uso para parsoid. Os servidores node.js precisam confiar na autoridade de certificação para fazer uma boa conexão SSL.

Eu tentei adicionar o certificado para /etc/pki/tls/certs/ca-bundle.crt com pouco sucesso.

Embora o httpd não veja a CA raiz, consegui fazer com que outros serviços funcionem com ele, como o tomcat e o 389.

Obrigado pelo seu apoio.

    
por John White 05.12.2013 / 22:34

2 respostas

7

Na minha caixa RHEL 6, a página de manual man 8 update-ca-trust tem uma explicação bastante extensa sobre como os certificados de autoridade de certificação e trusts associados em todo o sistema podem / devem ser gerenciados.

Mais frequentemente, a configuração não é específica da aplicação, como indicam os comentários acima.

    
por 06.12.2013 / 10:43
1

Eu escrevi algumas linhas de comando para que seja mais acessível ao principiante no SSL:

Navegue até a pasta PKI 

$ cd /etc/pki/tls/certs/
 

VERIFIQUE links (hard) e certificados de backup 

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
 

Carregue a cadeia CA para o CentOS 

$ scp <cachain> root@sydapp28:/tmp 
 

Conecte-se ao CentOS via SSH (Putty?) ou local 

$ ssh -C root@sydapp28
 

SE PKCS12 CAChain: “Converta o seu certificado interno de cadeia CA no formato PEM & remova cabeçalhos ”: 

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
 

Anexe sua CA interna ao CentOS 

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot
    
por 25.11.2015 / 01:47

Tags

Tunelando um IP público para uma máquina remota Variável de ambiente em / etc / environment com libra (hash) entre no valor