Instalar un certificado raíz en CentOS 6

tag-icon tag-icon centos ssl ssl-certificate certificate-authority certificate
Instalar un certificado raíz en CentOS 6

Sé que ya se ha preguntado, pero a pesar de muchas horas de investigación no pude encontrar una solución que funcionara. Estoy intentando instalar mi certificado raíz en mi servidor, para que los servicios internos puedan vincularse entre sí mediante SSL.

Lo que debe saber sobre la nueva CA raíz:

  1. Apache httpd y PHP
  2. Cliente OpenLDAP
  3. Nodo.js

Para Apache necesito una aplicación PHP para conocer el certificado raíz, de modo que si un sitio se conecta a otro sitio web SSL (firmado por la misma CA), funciona bien y no se queja de un certificado autofirmado.

Para OpenLDAP creo que es lo mismo que PHP, el módulo que usa es bastante antiguo, es Net_LDAP2, instalado con PEAR. Intenté editar la configuración local de openldap, pero parece que el sistema no la está usando.

Último Node.js, que uso para parsoid. Los servidores node.js deben confiar en la CA para poder establecer una buena conexión SSL.

Intenté agregar el certificado a /etc/pki/tls/certs/ca-bundle.crt con poco éxito.

Si bien httpd no ve la CA raíz, logré que otros servicios funcionen con ella, como Tomcat y 389.

Gracias por tu apoyo.

Respuesta1

En mi caja RHEL 6, la man 8 update-ca-trustpágina del manual tiene una explicación bastante extensa sobre cómo se pueden/deben administrar los certificados de CA de todo el sistema y las confianzas asociadas.

La mayoría de las veces, la configuración no es específica de la aplicación, como indican los comentarios anteriores.

Respuesta2

Escribí algunas líneas de comando para que sean más accesibles para los principiantes en SSL:

Navegue a la carpeta PKI

$ cd /etc/pki/tls/certs/
 

VERIFICAR enlaces (físicos) y certificados de respaldo

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
 

Subir cadena de CA a CentOS

$ scp <cachain> root@sydapp28:/tmp 
 

Conéctese a CentOS a través de SSH (¿Putty?) o local

$ ssh -C root@sydapp28
 

IF PKCS12 CAChain: “Convierta su certificado de cadena de CA interna al formato PEM y elimine los encabezados”:

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
 

Agregue su CA interna a CentOS

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot

información relacionada