unix-linux:openssl:how-to-add-domain-certification-authority-root-certificates-for-openssl-in-linux
Различия
Показаны различия между двумя версиями страницы.
Следующая версия | Предыдущая версия | ||
unix-linux:openssl:how-to-add-domain-certification-authority-root-certificates-for-openssl-in-linux [25.03.2017 17:40] – создано Алексей Максимов | unix-linux:openssl:how-to-add-domain-certification-authority-root-certificates-for-openssl-in-linux [25.03.2017 19:16] (текущий) – Алексей Максимов | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
- | ===== Добавление в Linux корневых сертификатов локального корпоративного Центра сертификации ===== | + | ===== Добавление в Linux корневых сертификатов |
- | Некоторые службы и приложения в **Linux** могут использовать в своей работе сетевые соединения, | + | {{: |
Здесь мы рассмотрим простой пример того, как в Linux-систему добавить корневые сертификаты локального корпоративного ЦС. | Здесь мы рассмотрим простой пример того, как в Linux-систему добавить корневые сертификаты локального корпоративного ЦС. | ||
Строка 7: | Строка 7: | ||
О том, как " | О том, как " | ||
- | image | + | {{ : |
- | В итоге в нашем примере получится пара файлов AD-RootCA.pem и AD-SubCA.pem. Скопируем полученные pem-файлы на наш сервер | + | В результате такой выгрузки |
- | С: | + | < |
+ | < | ||
+ | AD-SubCA.pem | ||
- | AD-RootCA.pem | + | Перейдём на консоль |
- | AD-SubCA.pem | + | |
- | # mkdir / | + | < |
# mv / | # mv / | ||
# chown root:root / | # chown root:root / | ||
- | # ls -la / | + | # ls -la / |
- | ... | + | < |
-rw-r--r-- 1 root root 1344 Mar 6 19:35 AD-RootCA.pem | -rw-r--r-- 1 root root 1344 Mar 6 19:35 AD-RootCA.pem | ||
- | -rw-r--r-- 1 root root 1922 Mar 6 19:35 AD-SubCA.pemТеперь обработаем содержимое каталога с нашими сертификатами утилитой OpenSSL c_rehash: | + | -rw-r--r-- 1 root root 1922 Mar 6 19:35 AD-SubCA.pem</ |
- | # c_rehash | + | Теперь обработаем содержимое каталога с нашими сертификатами утилитой **OpenSSL** - **c_rehash**: |
- | Doing / | + | < |
+ | |||
+ | < | ||
AD-RootCA.pem => 36865f67.0 | AD-RootCA.pem => 36865f67.0 | ||
AD-RootCA.pem => bb8428b0.0 | AD-RootCA.pem => bb8428b0.0 | ||
AD-SubCA.pem => e740e31e.0 | AD-SubCA.pem => e740e31e.0 | ||
- | AD-SubCA.pem => 536fc63e.0В результате выполнения этой команды в этом же каталоге будут созданы специальные хитрые хеш-ссылки на файлы сертификатов. | + | AD-SubCA.pem => 536fc63e.0</ |
- | # ls -la / | + | В результате выполнения этой команды в этом же каталоге будут созданы специальные хеш-ссылки на файлы сертификатов. |
- | ... | + | |
+ | < | ||
+ | < | ||
lrwxrwxrwx 1 root root 13 Mar 6 20:06 36865f67.0 -> AD-RootCA.pem | lrwxrwxrwx 1 root root 13 Mar 6 20:06 36865f67.0 -> AD-RootCA.pem | ||
lrwxrwxrwx 1 root root 12 Mar 6 20:06 536fc63e.0 -> AD-SubCA.pem | lrwxrwxrwx 1 root root 12 Mar 6 20:06 536fc63e.0 -> AD-SubCA.pem | ||
Строка 40: | Строка 45: | ||
-rw-r--r-- 1 root root 1922 Mar 6 19:59 AD-SubCA.pem | -rw-r--r-- 1 root root 1922 Mar 6 19:59 AD-SubCA.pem | ||
lrwxrwxrwx 1 root root 13 Mar 6 20:06 bb8428b0.0 -> AD-RootCA.pem | lrwxrwxrwx 1 root root 13 Mar 6 20:06 bb8428b0.0 -> AD-RootCA.pem | ||
- | lrwxrwxrwx 1 root root 12 Mar 6 20:06 e740e31e.0 -> AD-SubCA.pemПомните про то, что если в дальнейшем в данный каталог потребуется снова добавить дополнительный сертификат, | + | lrwxrwxrwx 1 root root 12 Mar 6 20:06 e740e31e.0 -> AD-SubCA.pem</ |
- | # find -L / | + | Помните про то, что если в дальнейшем в данный |
- | ... | + | < |
+ | |||
+ | Итак, каталог с сертификатами подготовлен, | ||
+ | |||
+ | В качестве примера рассмотрим клиента **OpenLDAP**, | ||
+ | |||
+ | <file bash ldap.conf> | ||
# TLS certificates (needed for GnuTLS) | # TLS certificates (needed for GnuTLS) | ||
TLS_CACERT | TLS_CACERT | ||
# Corp CA root certificates storage | # Corp CA root certificates storage | ||
- | TLS_CACERTDIR | + | TLS_CACERTDIR |
+ | <WRAP center box> | ||
+ | **Примечание**.\\ | ||
+ | В **Debian GNU/Linux** параметр **TLS_CACERTDIR** может игнорироваться, | ||
+ | < | ||
+ | Specifies the path of a directory that contains Certificate Authority certificates | ||
+ | in separate individual files. The TLS_CACERT is always used before TLS_CACERTDIR. | ||
+ | This parameter | ||
+ | </ | ||
+ | В таком случае используйте для хранения доверенных корневых сертификатов отдельный файл (бандл, | ||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | Собрать все нужные доверенные корневые сертификаты Центров сертификации в **бандл** можно простой склейкой содерживого **PAM**-файлов в колировке **Base-64**: | ||
+ | |||
+ | < | ||
+ | # cd / | ||
+ | # cat ./ | ||
+ | # cat / | ||
+ | |||
+ | < | ||
+ | ... | ||
+ | < | ||
+ | ... | ||
+ | -----END CERTIFICATE----- | ||
+ | -----BEGIN CERTIFICATE----- | ||
+ | ... | ||
+ | < | ||
+ | ... | ||
+ | -----END CERTIFICATE-----</ | ||
+ | |||
+ | Соответственно, | ||
+ | |||
+ | <file bash ldap.conf> | ||
+ | # TLS certificates (needed for GnuTLS) | ||
+ | TLS_CACERT | ||
+ | |||
+ | # Corp CA root certificates storage | ||
+ | # | ||
---- | ---- | ||
{{: | {{: | ||
- | {{tag> | + | {{tag> |
~~DISCUSSION~~ | ~~DISCUSSION~~ |
unix-linux/openssl/how-to-add-domain-certification-authority-root-certificates-for-openssl-in-linux.txt · Последнее изменение: 25.03.2017 19:16 — Алексей Максимов