Instal sertifikat root di CentOS 6

9

Saya tahu itu sudah ditanyakan, tetapi meskipun saya telah melakukan banyak penelitian, saya tidak dapat menemukan solusi yang berhasil. Saya mencoba untuk menginstal sertifikat root saya di server saya, sehingga layanan internal dapat saling mengikat menggunakan SSL.

Apa yang harus diketahui tentang root CA baru:

  1. Apache httpd dan PHP
  2. Klien OpenLDAP
  3. Node.js

Untuk Apache saya memerlukan aplikasi PHP untuk mengetahui tentang sertifikat root, jadi jika situs terhubung ke situs web SSL lain (ditandatangani oleh CA yang sama) itu berfungsi dengan baik dan tidak mengeluh tentang sertifikat yang ditandatangani sendiri.

Untuk OpenLDAP saya percaya itu sama dengan PHP, modul yang digunakannya sudah cukup tua, itu Net_LDAP2, diinstal dengan PEAR. Saya mencoba mengedit konfigurasi openldap lokal, tetapi sepertinya sistem tidak menggunakannya.

Node.js terakhir, yang saya gunakan untuk parsoid. Server node.js harus mempercayai CA agar dapat membuat koneksi SSL yang baik.

Saya mencoba menambahkan sertifikat ke /etc/pki/tls/certs/ca-bundle.crt dengan sedikit keberhasilan.

Walaupun httpd tidak melihat root CA, saya berhasil membuat layanan lain bekerja dengannya, seperti kucing jantan dan 389.

Terima kasih atas dukungan Anda.

centos ssl ssl-certificate certificate-authority certificate John White
sumber
1
Ini hampir perlu tiga pertanyaan terpisah. Saya bisa saja salah, mungkin ada metode sistem luas untuk mempercayai sertifikat CA untuk semua layanan tersebut. Jika tidak ada metode sistem yang luas, maka pemecahan ini sebagai tiga pertanyaan terpisah mungkin diperlukan untuk mendapatkan jawaban yang bermanfaat.
Zoredache
Apa sebenarnya yang sudah Anda coba? Ini adalah hal yang cukup mudah diteliti karena cukup umum dilakukan. Jika kami tahu mengapa Anda mengalami masalah, kami mungkin dapat memberikan jawaban yang lebih baik daripada SSLCACertificateFiledi /etc/httpd/conf.d/ssl.conf, TLS_CACERTdi /etc/openldap/ldap.conf(Klien OpenLDAP), TLSCACertificateFiledi /etc/openldap/slapd.conf(Server OpenLDAP), dll.
Aaron Copley
Apache httpd adalah alasan utama mengapa saya memposting pertanyaan ini. Saya pikir itu membaca sertifikat seluruh sistem. Tetapi mengeditnya tidak berhasil.
John White

Jawaban:

7

Pada kotak RHEL 6 saya, man 8 update-ca-trusthalaman manual memiliki penjelasan yang cukup luas tentang bagaimana CA sertifikat sistem dan kepercayaan terkait dapat / harus dikelola.

Lebih sering daripada itu konfigurasi adalah spesifik aplikasi seperti yang ditunjukkan komentar di atas.

HBruijn
sumber
2
Tidak ada manual seperti itu untuk CentOS. Saya percaya kedua sistem memiliki alat admin yang berbeda.
John White
Mereka kebanyakan sama tetapi perbedaan kecil seperti itu selalu membuat saya tersandung. Itu bagian dari rpm-sertifikat ca. Salinan halaman manual dapat ditemukan di sini
HBruijn
CentOS 6.5 saya memiliki halaman manual untuk pembaruan-ca-trust. @ Mc120k apakah Anda sudah menginstal ca-sertifikat-2013?
8Tidak Ada
1

Saya menulis beberapa baris perintah sehingga lebih mudah diakses oleh pemula di SSL:

Arahkan ke Folder PKI

$ cd /etc/pki/tls/certs/
 

Tautan VERIFY (sulit) dan Cadangan sertifikat

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
 

Unggah rantai CA ke CentOS

$ scp <cachain> root@sydapp28:/tmp 
 

Terhubung ke CentOS melalui SSH (Putty?) Atau lokal 

$ ssh -C root@sydapp28
 

JIKA PKCS12 CAChain: "Konversi sertifikat rantai CA Internal Anda ke format PEM & hapus tajuk":

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
 

Tambahkan CA Internal Anda ke CentOS

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot
Florian Bidabe
sumber