Назад | Перейти на главную страницу

Установите корневой сертификат в CentOS 6

Я знаю, что об этом уже спрашивали, но, несмотря на многочасовые исследования, я не смог найти рабочего решения. Я пытаюсь установить свой корневой сертификат на свой сервер, чтобы внутренние службы могли связываться друг с другом с помощью SSL.

Что следует знать о новом корневом ЦС:

  1. Apache httpd и PHP
  2. Клиент OpenLDAP
  3. Node.js

Для Apache мне нужно приложение PHP, чтобы знать о корневом сертификате, поэтому, если сайт подключается к другому веб-сайту SSL (подписанному тем же ЦС), он работает нормально и не жалуется на самозаверяющий сертификат.

Что касается OpenLDAP, я считаю, что это то же самое, что и PHP, но используемый модуль довольно старый, это Net_LDAP2, установленный вместе с PEAR. Я попытался отредактировать локальную конфигурацию openldap, но похоже, что система ее не использует.

Последний Node.js, который я использую для парсоида. Серверы node.js должны доверять CA, чтобы установить хорошее SSL-соединение.

Я попытался добавить сертификат в /etc/pki/tls/certs/ca-bundle.crt без особого успеха.

Хотя httpd не видит корневой ЦС, мне удалось заставить работать с ним другие службы, такие как tomcat и 389.

Спасибо за Вашу поддержку.

В моей коробке RHEL 6 man 8 update-ca-trust На странице руководства есть довольно подробное объяснение того, как можно / нужно управлять общесистемными сертификатами CA и связанными доверительными отношениями.

Как показывают комментарии выше, чаще всего конфигурация не зависит от приложения.

Я написал несколько командных строк, чтобы новичкам было проще использовать SSL:

Перейдите в папку PKI

$ cd /etc/pki/tls/certs/
 

ПРОВЕРИТЬ (жесткие) ссылки и резервные сертификаты

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
 

Загрузить цепочку ЦС в CentOS

$ scp <cachain> root@sydapp28:/tmp 
 

Подключитесь к CentOS через SSH (Putty?) Или локально 

$ ssh -C root@sydapp28
 

IF PKCS12 CAChain: «Преобразуйте сертификат цепочки внутреннего CA в формат PEM и удалите заголовки»:

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
 

Добавьте свой внутренний ЦС в CentOS

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot