Instalar un certificado raíz en CentOS 6

9

Sé que ya se ha pedido, pero a pesar de muchas horas de investigación, no pude encontrar una solución que funcione. Estoy tratando de instalar mi certificado raíz en mi servidor, por lo que el servicio interno puede vincularse entre sí mediante SSL.

Lo que debe saber sobre la nueva CA raíz:

  1. Apache httpd y PHP
  2. Cliente OpenLDAP
  3. Node.js

Para Apache, necesito una aplicación PHP para conocer el certificado raíz, por lo que si un sitio se conecta a otro sitio web SSL (firmado por la misma CA) funciona bien y no se queja de un certificado autofirmado.

Para OpenLDAP, creo que es lo mismo que PHP, el módulo que usa es bastante antiguo, es Net_LDAP2, instalado con PEAR. Intenté editar la configuración local de openldap, pero parece que el sistema no la está usando.

Last Node.js, que uso para parsoid. Los servidores node.js deben confiar en la CA para hacer una buena conexión SSL.

Intenté agregar el certificado a /etc/pki/tls/certs/ca-bundle.crt con poco éxito.

Si bien httpd no ve la CA raíz, logré que otros servicios funcionen con ella, como tomcat y 389.

Gracias por tu apoyo.

centos ssl ssl-certificate certificate-authority certificate John White
fuente
1
Esto casi necesita ser tres preguntas separadas. Sin embargo, podría estar equivocado, quizás haya un método de todo el sistema para confiar en un certificado de CA para todos esos servicios. Si no hay un método para todo el sistema, puede ser necesario dividirlo en tres preguntas separadas para obtener respuestas útiles.
Zoredache
¿Qué has intentado exactamente? Esto es bastante fácil de investigar, ya que se hace con bastante frecuencia. Si sabemos por qué tiene problemas, podríamos darle una mejor respuesta que SSLCACertificateFileen /etc/httpd/conf.d/ssl.conf, TLS_CACERTen /etc/openldap/ldap.conf(Cliente OpenLDAP), TLSCACertificateFileen /etc/openldap/slapd.conf(Servidor OpenLDAP), etc.
Aaron Copley
Apache httpd es la razón principal por la que publiqué esta pregunta. Creo que lee certificados de todo el sistema. Pero editarlos no funcionó.
John White

Respuestas:

7

En mi cuadro RHEL 6, la man 8 update-ca-trustpágina del manual tiene una explicación bastante extensa sobre cómo los certificados de CA de todo el sistema y los fideicomisos asociados pueden / deben ser administrados.

Más a menudo, entonces la configuración no es específica de la aplicación, como lo indican los comentarios anteriores.

HBruijn
fuente
2
No existe tal manual para CentOS. Creo que los dos sistemas tienen diferentes herramientas de administración.
John White
En su mayoría son similares, pero son pequeñas diferencias como esa las que siempre me hacen tropezar. Es parte de los certificados ca rpm. Puede encontrar una copia de la página de manual aquí
HBruijn
Mi CentOS 6.5 tiene una página de manual para update-ca-trust. @ Mc120k ¿tiene instalados los certificados ca-2013?
8Ninguno1
1

Escribí algunas líneas de comando para que sea más accesible para los novatos en SSL:

Navegue a la carpeta PKI

$ cd /etc/pki/tls/certs/
 

VERIFICAR enlaces (duros) y certificados de respaldo

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
 

Subir cadena de CA a CentOS

$ scp <cachain> root@sydapp28:/tmp 
 

Conéctese a CentOS a través de SSH (Putty?) O local 

$ ssh -C root@sydapp28
 

IF PKCS12 CAChain: "Convierta su certificado de cadena de CA interna a formato PEM y elimine los encabezados":

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
 

Agregue su CA interna a CentOS

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot
Florian Bidabe
fuente