配置LDAP启动TLS

阅读本文之前,建议初学的小伙伴先看一下上一篇:完整的 LDAP + phpLDAPadmin安装部署流程 (ubuntu18.04)

以下正文:

接下来的操作承接上文,还是在同一台机器上。

操作系统:Ubuntu18.04

安装gnutls-binssl-cert软件包

root@cky:~# apt install gnutls-bin ssl-cert -y

为证书颁发机构创建私钥:

root@cky:~# certtool --generate-privkey --bits 4096 --outfile /etc/ssl/private/mycakey.pem

创建模板/文件/etc/ssl/ca.info以定义CA:

root@cky:~# cat /etc/ssl/ca.info

cn = Xcdata Company

ca

cert_signing_key

expiration_days = 3650

创建自签名的CA证书:

root@cky:~# certtool --generate-self-signed \

--load-privkey /etc/ssl/private/mycakey.pem \

--template /etc/ssl/ca.info \

--outfile /usr/local/share/ca-certificates/mycacert.crt

运行update-ca-certificates以将新的CA证书添加到受信任的CA列表中。请注意添加的一个CA:

root@cky:~# update-ca-certificates

Updating certificates in /etc/ssl/certs...

1 added, 0 removed; done.

Running hooks in /etc/ca-certificates/update.d...

done.

这还会在中创建一个/etc/ssl/certs/mycacert.pem指向实际文件的符号链接/usr/local/share/ca-certificates

为服务器创建一个私钥:

root@cky_dev:~# certtool --generate-privkey \

--bits 2048 \

--outfile /etc/ldap/company_ldap_slapd_key.pem

** Note: You may use '--sec-param Medium' instead of '--bits 2048'

Generating a 2048 bit RSA private key...

创建/etc/ssl/company_ldap.info包含以下内容的信息文件:

organization = Company

cn = company.com

tls_www_server

encryption_key

signing_key

expiration_days = 365

以上证书有效期为1年,仅对company.com主机名有效。

创建服务器的证书:

root@cky:~# certtool --generate-certificate \

--load-privkey /etc/ldap/company_ldap_slapd_key.pem \

--load-ca-certificate /etc/ssl/certs/mycacert.pem \

--load-ca-privkey /etc/ssl/private/mycakey.pem \

--template /etc/ssl/company_ldap.info \

--outfile /etc/ldap/company_ldap_slapd_cert.pem

调整权限和所有权:

root@cky:~# chgrp openldap /etc/ldap/company_ldap_slapd_key.pem

root@cky:~# chmod 0640 /etc/ldap/company_ldap_slapd_key.pem

现在服务器准备接受新的TLS配置。

创建certinfo.ldif文件

dn: cn=config

add: olcTLSCACertificateFile

olcTLSCACertificateFile: /etc/ssl/certs/mycacert.pem

-

add: olcTLSCertificateFile

olcTLSCertificateFile: /etc/ldap/company_ldap_slapd_cert.pem

-

add: olcTLSCertificateKeyFile

olcTLSCertificateKeyFile: /etc/ldap/company_ldap_slapd_key.pem

使用ldapmodify命令通过slapd-config数据库告诉slapd我们的TLS工作:

root@cky:~/ldap# ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "cn=config"

最后检查个文件

root@cky:~/ldap# grep -e '^SLAPD_SERVICES' /etc/default/slapd

SLAPD_SERVICES="ldap:/// ldapi:///"

因为我们不需要使用 ldaps://,而推荐使用StartTLS。后者指的是已由TLS / SSL保护的现有LDAP会话(在TCP端口389上监听),而LDAPS像HTTPS一样,是一种独特的从头开始加密的协议,它在TCP端口636上运行。

OpenLDAP副本的证书

要为OpenLDAP副本(消费者)生成证书对,创建一个保存目录(将用于最终传输)

root@cky:~# mkdir /mnt/ldap02-ssl

root@cky:~# cd /mnt/ldap02-ssl/

root@cky:/mnt/ldap02-ssl# pwd

/mnt/ldap02-ssl

root@cky_dev:/mnt/ldap02-ssl# certtool --generate-privkey \

--bits 2048 \

--outfile company_ldap02_slapd_key.pem

** Note: You may use '--sec-param Medium' instead of '--bits 2048'

Generating a 2048 bit RSA private key...

为消费者服务器创建一个信息文件ldap02.info

organization = Company

cn = company02.com

tls_www_server

encryption_key

signing_key

expiration_days = 365

创建消费者证书:

root@cky:/mnt/ldap02-ssl# certtool --generate-certificate \

--load-privkey company_ldap02_slapd_key.pem \

--load-ca-certificate /etc/ssl/certs/mycacert.pem \

--load-ca-privkey /etc/ssl/private/mycakey.pem \

--template ldap02.info \

--outfile company_ldap02_slapd_cert.pem

获取CA证书的副本

root@cky:/mnt/ldap02-ssl# cp /etc/ssl/certs/mycacert.pem .

现在将ldap02-ssl目录转移到使用者。(如果是多节点可以scp,现在是单节点测试,就直接本地搞了)

root@cky:/mnt/ldap02-ssl# cp company_ldap02_slapd_cert.pem company_ldap02_slapd_key.pem /etc/ldap/

root@cky:/mnt/ldap02-ssl# chgrp openldap /etc/ldap/company_ldap02_slapd_key.pem

root@cky:/mnt/ldap02-ssl# chmod 0640 /etc/ldap/company_ldap02_slapd_key.pem

root@cky:/mnt/ldap02-ssl# cp mycacert.pem /usr/local/share/ca-certificates/mycacert.crt

root@cky:/mnt/ldap02-ssl# update-ca-certificates

创建certinfo.ldif具有以下内容的文件

dn: cn=config

add: olcTLSCACertificateFile

olcTLSCACertificateFile: /etc/ssl/certs/mycacert.pem

-

add: olcTLSCertificateFile

olcTLSCertificateFile: /etc/ldap/company_ldap02_slapd_cert.pem

-

add: olcTLSCertificateKeyFile

olcTLSCertificateKeyFile: /etc/ldap/company_ldap02_slapd_key.pem

配置slapd-config数据库:

root@cky:/mnt/ldap02-ssl# ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif

报错

root@cky:/mnt/ldap02-ssl# ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "cn=config"

ldap_modify: Inappropriate matching (18)

        additional info: modify/add: olcTLSCACertificateFile: no equality matching rule

一番百度google之后,更改certinfo.ldif,将add改成了replace

dn: cn=config

replace: olcTLSCACertificateFile

olcTLSCACertificateFile: /etc/ssl/certs/mycacert.pem

-

replace: olcTLSCertificateFile

olcTLSCertificateFile: /etc/ldap/company_ldap02_slapd_cert.pem

-

replace: olcTLSCertificateKeyFile

olcTLSCertificateKeyFile: /etc/ldap/company_ldap02_slapd_key.pem

再跑一次(此处diss一下ubuntu的官方文档

root@cky:/mnt/ldap02-ssl# ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "cn=config"

加个解析

# file : /etc/hosts

xxx.xxx.xxx.xxx    company02.com

测试

root@cky:/mnt/ldap02-ssl# ldapwhoami -x -ZZ -h company02.com

anonymous

LDAP启动TLS 完整操作流程的更多相关文章

  1. UIPickerView/UIDatePicker/程序启动的完整过程

    一.UIPickerView 1.UIPickerView的常见属性 数据源(用来告诉UIPickerView有多少列多少行) @property(nonatomic,assign) id<UI ...

  2. LDAP启动cacao提示Invalid file permission

    问题处理步骤: 1.LDAP实例停止 2.DSCC控制台启动,提示cacao已停止…… 3.启动caocaoroot@rusky bin]# ./cacaoadm startInvalid file ...

  3. docker odoo启动比较完整的命令

    docker run --name odoo12 -p : -p : -v /root/workspace/odoo-addons/:/mnt/extra-addons -v /root/worksp ...

  4. 使用UltraISO(软碟通)制作U盘制作启动盘完整教程

    背景:服务器需要安装系统,但是没有启动盘只有镜像. 前提:U盘和安装镜像准备好 步骤一:首先我们先安装软碟通,完成安装后打开软碟通,文件->打开,打开我们需要制作的iso镜像.如下图(也可下本地 ...

  5. 曹工说Redis源码(3)-- redis server 启动过程完整解析(中)

    文章导航 Redis源码系列的初衷,是帮助我们更好地理解Redis,更懂Redis,而怎么才能懂,光看是不够的,建议跟着下面的这一篇,把环境搭建起来,后续可以自己阅读源码,或者跟着我这边一起阅读.由于 ...

  6. Jetty 嵌入式启动官方完整教程

    网上太多了,不如直接看官方的这个全面. http://wiki.eclipse.org/Jetty/Tutorial/Embedding_Jetty 入门地址: http://wiki.eclipse ...

  7. [转载] TLS协议分析 与 现代加密通信协议设计

    https://blog.helong.info/blog/2015/09/06/tls-protocol-analysis-and-crypto-protocol-design/?from=time ...

  8. 开启 TLS 1.3 加密协议,极速 HTTPS 体验

    随着互联网的发展,用户对网络速度的要求也越来越高,尤其是目前在大力发展 HTTPS 的情况下,TLS 加密协议变得至关重要.又拍云在 HTTPS 的普及和性能优化上,始终做着自己的努力和贡献.2018 ...

  9. LDAP与实现

    LDAP是什么? LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP.它是基于X.500标准的,但是简单多了并且可以 ...

随机推荐

  1. Spring Security原理分析:系列集合

    Spring Security 工作原理概览:https://blog.csdn.net/u012702547/article/details/89629415 spring security执行原理 ...

  2. TZOJ6556: 嗅探器

    最近在练Tarjan,看到这道题目分类在割点里面就想尝试做一下,点开发现题目数据范围竟然如此之小,算了,bfs暴力一发. 题目意思就是你需要找到一个关键节点,也可以理解成,行军打仗时必需经过的地方,敌 ...

  3. windows下使用HyperV安装Centos7虚拟机

    以前都是用的VM(VMWare)安装虚拟机, 然鹅, 现在电脑装了Docker需要开启Windows的HyperV, 而我使用的VM版本(14)和HyperV 是不兼容的, 于是搜索引擎搜索了一下解决 ...

  4. Luogu T14448 区间开方

    题面版权来自Shlw.题目链接 题目背景 无 题目描述 给定一个数列,元素均为正整数,对其以下两种操作: 1.将某区间每一个数变为其算术平方根(取整) 2.求出某区间内所有数的最大值 输入输出格式 输 ...

  5. tomacat服务器上web资源访问流程、web应用打成war包发布、Context的reloadable属性、tomacat体系架构

    一.web资源访问流程 二.web应用打成war包发布到服务器 好处:打成war包发布到服务器,那么服务器会自动把它拆解成文件夹 jar命令是java自带的一个命令,如果之前配置过Java编译环境就可 ...

  6. Codeforces Round #654 (Div. 2) C. A Cookie for You (思维)

    题意:有\(a\)个蛋糕,\(b\)个巧克力,第一类人有\(n\)个,总是吃多的东西(若\(a>b\),吃蛋糕,否则吃巧克力),第二类人有\(m\)个,总是吃少的,可以随便调整这两类人吃的顺序, ...

  7. XV6学习(14)Lab fs: File system

    代码在github上. 这次实验是要对文件系统修改,使其支持更大的文件以及符号链接,实验本身并不是很复杂.但文件系统可以说是XV6中最复杂的部分,整个文件系统包括了七层:文件描述符,路径名,目录,in ...

  8. 使VS开发的程序在Win7系统运行时自动提升权限

    软件开发时,总是会遇到在Win7系统上运行不起来或者异常的情况,这通常是用户的权限不够引起的. 下面提供一个可以使程序运行时,自动提升用户权限的方法. 1.右键点击启动项目,单击"属性&qu ...

  9. 008.NET5_IIS安装教程

    控制面板->程序->启动或关闭Windows功能

  10. Python Web Framework All In One

    Python Web Framework All In One Django and Flask are the top Python web frameworks so far. Django ht ...