web-dev-qa-db-fra.com

Installer un certificat racine à Centos 6

Je sais que cela a déjà été demandé, mais malgré de nombreuses heures de recherche, je n'ai pas pu trouver une solution de travail. J'essaie d'installer mon certificat root sur mon serveur, le service interne peut donc se lier à l'autre à l'aide de SSL.

Que devrait savoir sur la nouvelle racine CA:

  1. Apache httpd et php
  2. OpenLDAP Client
  3. Nœud.js

Pour Apache, j'ai besoin d'un PHP Application pour connaître le certificat racine, donc si un site se connecte à un autre site Web SSL (signé par la même ca), cela fonctionne bien et ne se plaignait pas d'un Certificat auto-signé.

Pour OpenLDap, je crois que c'est la même chose que PHP, le module qu'il utilise est assez vieux, c'est net_ldap2, installé avec de la poire. J'ai essayé d'éditer la configuration openldap locale, mais on dirait que le système ne l'utilise pas.

Dernier nœud.js, que j'utilise pour Paysoïde. Les serveurs nœud.js doivent faire confiance à l'autorité de certification afin de créer une bonne connexion SSL.

J'ai essayé d'ajouter le certificat à /etc/pki/tls/certs/ca-bundle.crt avec peu de succès.

Bien que httpd ne voie pas l'autorité de certification root, j'ai réussi à faire fonctionner d'autres services avec elle, comme Tomcat et 389.

Merci pour votre soutien.

centossslssl-certificatecertificate-authoritycertificate
9
John White

Sur ma boîte à 6 rhel le man 8 update-ca-trust La page manuelle a une explication assez étendue sur la manière dont les certificats de l'AC du système et les fiducies associées peuvent être gérés/doivent être gérés.

Plus souvent, la configuration pas est spécifique à l'application que les commentaires ci-dessus indiquent.

7
HBruijn

J'ai écrit des lignes de commande afin qu'elle soit plus accessible au novice en SSL:

Naviguez jusqu'au dossier PKI

$ cd /etc/pki/tls/certs/

Vérifier (durs) Liens et certificats de sauvegarde

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak

Télécharger la chaîne CA à Centos

$ scp <cachain> root@sydapp28:/tmp

Se connecter aux centos via SSH (PUTTY?) Ou local

$ ssh -C root@sydapp28

Si PKCS12 CACHAIN: "Convertissez votre certificat de chaîne de CA interne au format PEM et retirez les en-têtes":

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem

Ajouter votre CA interne aux Centos

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot
1
Florian Bidabe