Installieren Sie ein Stammzertifikat in CentOS 6

9

Ich weiß, dass es bereits gefragt wurde, aber trotz vieler Stunden Recherche konnte ich keine funktionierende Lösung finden. Ich versuche, mein Stammzertifikat auf meinem Server zu installieren, damit der interne Dienst über SSL miteinander verbunden werden kann.

Was sollte man über die neue Stammzertifizierungsstelle wissen:

  1. Apache httpd und PHP
  2. OpenLDAP-Client
  3. Node.js

Für Apache benötige ich eine PHP-Anwendung, um über das Stammzertifikat Bescheid zu wissen. Wenn eine Site eine Verbindung zu einer anderen SSL-Website herstellt (von derselben Zertifizierungsstelle signiert), funktioniert dies einwandfrei und sie beschwert sich nicht über ein selbstsigniertes Zertifikat.

Für OpenLDAP ist es meines Erachtens dasselbe wie für PHP. Das verwendete Modul ist ziemlich alt, es ist Net_LDAP2, das mit PEAR installiert wurde. Ich habe versucht, die lokale Openldap-Konfiguration zu bearbeiten, aber es sieht so aus, als würde das System sie nicht verwenden.

Last Node.js, die ich für Parsoid verwende. Die node.js-Server müssen der Zertifizierungsstelle vertrauen, um eine gute SSL-Verbindung herzustellen.

Ich habe versucht, das Zertifikat mit wenig Erfolg zu /etc/pki/tls/certs/ca-bundle.crt hinzuzufügen.

Während httpd die Stammzertifizierungsstelle nicht sieht, habe ich es geschafft, andere Dienste wie Tomcat und 389 zum Laufen zu bringen.

Danke für Ihre Unterstützung.

centos ssl ssl-certificate certificate-authority certificate John White
quelle
1
Dies müssen fast drei separate Fragen sein. Ich könnte mich jedoch irren, vielleicht gibt es eine systemweite Methode, um einem CA-Zertifikat für all diese Dienste zu vertrauen. Wenn es keine systemweite Methode gibt, kann es erforderlich sein, diese als drei separate Fragen aufzuteilen, um nützliche Antworten zu erhalten.
Zoredache
Was genau hast du versucht? Dies ist ziemlich leicht zu recherchieren, da es ziemlich häufig gemacht wird. Wenn wir wissen, warum Sie Probleme haben, können wir möglicherweise eine bessere Antwort geben als SSLCACertificateFilein /etc/httpd/conf.d/ssl.conf, TLS_CACERTin /etc/openldap/ldap.conf(OpenLDAP-Client), TLSCACertificateFilein /etc/openldap/slapd.conf(OpenLDAP-Server) usw.
Aaron Copley
Apache httpd ist der Hauptgrund, warum ich diese Frage gestellt habe. Ich denke, es liest systemweite Zertifikate. Aber das Bearbeiten hat nicht funktioniert.
John White

Antworten:

7

Auf meiner RHEL 6-Box enthält die man 8 update-ca-trustHandbuchseite eine ziemlich ausführliche Erklärung, wie die systemweiten CA-Zertifikate und die zugehörigen Vertrauensstellungen verwaltet werden können / sollten.

In den meisten Fällen ist keine Konfiguration anwendungsspezifisch, wie aus den obigen Kommentaren hervorgeht.

HBruijn
quelle
2
Kein solches Handbuch für CentOS. Ich glaube, die beiden Systeme haben unterschiedliche Admin-Tools.
John White
Sie sind sich größtenteils ähnlich, aber es sind kleine Unterschiede, die mich immer stören. Es ist Teil der Ca-Zertifikate U / min. Eine Kopie der Manpage finden Sie hier
HBruijn
Mein CentOS 6.5 verfügt über eine Manpage für update-ca-trust. @ Mc120k hast du ca-certificates-2013 installiert?
8None1
1

Ich habe einige Befehlszeilen geschrieben, damit Anfänger in SSL besser darauf zugreifen können:

Navigieren Sie zum PKI-Ordner

$ cd /etc/pki/tls/certs/
 

Überprüfen Sie (harte) Links und Sicherungszertifikate

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
 

Laden Sie die CA-Kette auf CentOS hoch

$ scp <cachain> root@sydapp28:/tmp 
 

Stellen Sie über SSH (Putty?) Oder lokal eine Verbindung zu CentOS her 

$ ssh -C root@sydapp28
 

IF PKCS12 CAChain: "Konvertieren Sie Ihr internes CA-Kettenzertifikat in das PEM-Format und entfernen Sie Header":

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
 

Hängen Sie Ihre interne Zertifizierungsstelle an CentOS an

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot
Florian Bidabe
quelle