Ich weiß, dass dies bereits gefragt wurde, aber trotz vieler Stunden der Recherche konnte ich keine funktionierende Lösung finden. Ich versuche, mein Stammzertifikat auf meinem Server zu installieren, damit interne Dienste über SSL miteinander verbunden werden können.
Was Sie über die neue Stammzertifizierungsstelle wissen sollten:
- Apache httpd und PHP
- OpenLDAP-Client
- Node.js
Für Apache muss eine PHP-Anwendung das Stammzertifikat kennen, damit die Verbindung einer Site zu einer anderen SSL-Website (signiert von derselben Zertifizierungsstelle) reibungslos funktioniert und es keine Beschwerden über ein selbstsigniertes Zertifikat gibt.
Ich glaube, dass OpenLDAP dasselbe ist wie PHP. Das verwendete Modul ist ziemlich alt, es ist Net_LDAP2, das mit PEAR installiert wurde. Ich habe versucht, die lokale OpenLDAP-Konfiguration zu bearbeiten, aber es sieht so aus, als würde das System sie nicht verwenden.
Zuletzt Node.js, das ich für Parsoid verwende. Die Node.js-Server müssen der CA vertrauen, um eine gute SSL-Verbindung herzustellen.
Ich habe versucht, das Zertifikat zu /etc/pki/tls/certs/ca-bundle.crt hinzuzufügen, aber mit wenig Erfolg.
Obwohl httpd die Stammzertifizierungsstelle nicht erkennt, habe ich es geschafft, dass andere Dienste wie Tomcat und 389 damit funktionieren.
Danke für Ihre Unterstützung.
Antwort1
Auf meiner RHEL 6-Box man 8 update-ca-trustenthält die Manualpage eine ziemlich ausführliche Erklärung, wie die systemweiten CA-Zertifikate und zugehörigen Vertrauensstellungen verwaltet werden können/sollten.
Wie die obigen Kommentare zeigen, ist die Konfiguration in den meisten Fällen anwendungsspezifisch.
Antwort2
Ich habe einige Befehlszeilen geschrieben, damit sie für SSL-Anfänger leichter zugänglich sind:
Navigieren Sie zum PKI-Ordner
$ cd /etc/pki/tls/certs/
ÜBERPRÜFEN Sie (harte) Links und Backup-Zertifikate
$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
CA-Kette auf CentOS hochladen
$ scp <cachain> root@sydapp28:/tmp
Verbindung zu CentOS über SSH (Putty?) oder lokal
$ ssh -C root@sydapp28
WENN PKCS12 CAChain: „Konvertieren Sie Ihr internes CA-Kettenzertifikat in das PEM-Format und entfernen Sie Header“:
$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
Fügen Sie Ihre interne Zertifizierungsstelle an CentOS an
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot