CentOS 6にルート証明書をインストールする
私はそれがすでに尋ねられたことを知っています、しかし何時間もの研究にもかかわらず私は実用的な解決策を見つけることができませんでした。ルート証明書をサーバーにインストールしようとしています。内部サービスがSSLを使用して相互にバインドできるようにしています。
新しいルートCAについて知っておくべきこと:
- Apache httpdおよびPHP
- OpenLDAPクライアント
- Node.js
Apacheの場合、ルート証明書について知るにはPHPアプリケーションが必要です。そのため、サイトが(同じCAによって署名された)別のSSL Webサイトに接続した場合、正常に動作し、自己署名証明書。
OpenLDAPの場合、PHPと同じだと思います。使用するモジュールはかなり古く、PEARと共にインストールされるNet_LDAP2です。ローカルのopenldap設定を編集してみましたが、システムで使用されていないようです。
最後のNode.js。これはパーソイドに使用します。 node.jsサーバーは、適切なSSL接続を確立するためにCAを信頼する必要があります。
/etc/pki/tls/certs/ca-bundle.crtに証明書を追加しようとしましたが、ほとんど成功しませんでした。
HttpdにはルートCAが表示されませんが、Tomcatや389などの他のサービスを使用してなんとかすることができました。
ご協力ありがとうございます。
私のRHEL 6ボックスではman 8 update-ca-trustマニュアルページには、システム全体のCA証明書と関連する信頼をどのように管理できる/すべきかについてのかなり広範な説明があります。
上記のコメントが示すように、多くの場合、構成はアプリケーション固有ではありません。
SSLの初心者がアクセスしやすいように、いくつかのコマンドラインを記述しました。
PKIフォルダに移動します
$ cd /etc/pki/tls/certs/
VERIFY(ハード)リンクとバックアップ証明書
$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
CentOSにCAチェーンをアップロードする
$ scp <cachain> root@sydapp28:/tmp
SSH(Putty?)またはローカル経由でCentOSに接続する
$ ssh -C root@sydapp28
IF PKCS12 CAChain:「内部CAチェーン証明書をPEM形式に変換してヘッダーを削除」:
$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
CentOSに内部CAを追加する
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot