OpenLDAP配置TLS加密傳輸

来源:http://www.cnblogs.com/netonline/archive/2017/09/13/7517685.html
-Advertisement-
Play Games

原文發表於cu:2016-07-04 參考文檔: http://seanlook.com/2015/01/21/openldap-install-guide-ssl/ 一.環境 Server:基於CentOS-7-x86_64-1511 Server IP: 172.18.12.203 OpenLD ...


原文發表於cu2016-07-04

參考文檔:

  1. 基於OpenSSL自建CA與頒發SSL證書:http://seanlook.com/2015/01/18/openssl-self-sign-ca/
  2. OpenLDAP with TLS:http://my.oschina.net/aiguozhe/blog/151554
  3. http://seanlook.com/2015/01/21/openldap-install-guide-ssl/

一.環境

Server:基於CentOS-7-x86_64-1511

Server IP: 172.18.12.203

OpenLDAP:openldap-2.4.44已安裝

二.準備工作

1. 依賴包

#理論上只需要openssl與openssl-devel
yum install *openssl* -y

openldap編譯需要開啟"--with-tls"選項,可通過"./configure --help"查看相關說明,請參考:http://www.cnblogs.com/netonline/p/7486832.html

openssl相關依賴包一定要安裝在openldap安裝之前,在openldap安裝之後再yum安裝openssl相關依賴包,運行ldaps命令時時報" 573d212b daemon: TLS not supported (ldaps://0.0.0.0:636/)"錯(如下圖),安裝openssl相關包之後重新編譯安裝openldap解決。

可以使用"/usr/local/openldap-2.4.44/libexec/slapd"命令查看執行命令是否關聯相應libraries,上面就是通過此方法定位故障點的:http://comments.gmane.org/gmane.network.openldap.technical/874

2. iptables

OpenLDAP with TLS/SSL預設使用tcp 636埠,提前在iptables放行。

三.配置TLS

在OpenLDAP的home目錄創建1個子目錄,後續操作均在此目錄進行
[root@localhost ~]# cd /usr/local/openldap-2.4.44
[root@localhost openldap-2.4.44]# mkdir -p certs
[root@localhost openldap-2.4.44]# cd certs/

1. CA中心操作(如已有CA證書則跳過)

生成CA根密鑰(1)

#帶上”-des3”參數時,創建的私鑰採取Triple DES演算法加密,命令執行後會要求輸入密碼,這樣後續在調用此密鑰時都會要求輸入密碼,如 “openssl genrsa -des3 -out ca-key.pem 2048”,這裡為了方便省略此參數
[root@localhost certs]# openssl genrsa -out cakey.pem 2048

#可以查看生成的rsa 私鑰
[root@localhost certs]# openssl rsa -noout -text -in cakey.pem

#option選項,基於安全性考慮,建議修改根密鑰許可權為600或400
[root@localhost certs]# chmod 600 cakey.pem

生成CA根證書(2)

#利用req命令與CA根證書生成自簽署的根證書,證書有效期1年;
#生成證書時,上方紅色粗體字部分是要求輸入的信息,其中需要註意的是”Common Name”請填寫伺服器域或IP
[root@localhost certs]# openssl req -new -x509 -days 365 -key cakey.pem -out ca.crt
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Sichuan
Locality Name (eg, city) [Default City]:Chengdu
Organization Name (eg, company) [Default Company Ltd]:SYS
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:172.18.12.203
Email Address []:[email protected]

#可以查看生成的根證書
[root@localhost certs]# openssl x509 -noout -text -in ca.crt

2. OpenLDAP伺服器端操作

生成OpenLDAP伺服器私鑰(3)

#同上,可帶"-des3"參數,同步驟(1)
[root@localhost certs]# openssl genrsa -out ldapkey.pem 2048

生成OpenLDAP伺服器證書簽署請求文件(4)

#請求文件需要發給CA中心簽署生成證書,相當於公鑰;
#同步驟(2)會要求輸入一些信息,相對於步驟(2)額外的信息可忽略
[root@localhost certs]# openssl req -new -key ldapkey.pem -out ldapserver.csr

#查看請求文件
[root@localhost certs]# openssl req -noout -text -in ldapserver.csr

3. CA中心簽署證書

簽署證書的準備工作 (5)

#如果CA中心準備工作已經做好,此步可跳過。
[root@localhost certs]# cp /etc/pki/tls/openssl.cnf ./
[root@localhost certs]# mkdir -p newcerts
[root@localhost certs]# touch index.txt
[root@localhost certs]# echo "00" > serial

#修改第42行,證書生成配置文件的工作目錄”dir    =/etc/pki/CA”修改為當前配置文件工作的目錄,如下:
[root@localhost certs]# vim openssl.cnf
42 dir             = /usr/local/openldap-2.4.44/certs

簽署證書(6)

#需要將OpenLDAP伺服器生成的csr請求文件發給CA中;
#生成證書會有兩次確認,”y”即可;
#如果重新簽署證書,需要先將index.txt的內容用index.txt.old還原
[root@localhost certs]# openssl ca -days 365 -cert ca.crt -keyfile cakey.pem -in ldapserver.csr -out ldapserver.crt -config openssl.cnf

4. 複製證書/密鑰到工作目錄(7)

#主要涉及CA中心的證書,CA中心為OpenLDAP伺服器簽署的證書與私鑰
[root@localhost certs]# mkdir -p /usr/local/openldap-2.4.44/etc/openldap/cacerts
[root@localhost certs]# cp ca.crt /usr/local/openldap-2.4.44/etc/openldap/cacerts
[root@localhost certs]# cp ldapserver.crt /usr/local/openldap-2.4.44/etc/openldap/
[root@localhost certs]# cp ldapkey.pem /usr/local/openldap-2.4.44/etc/openldap/

5. 修改OpenLDAP主配置文件slapd.conf(8)

#可以在文件最後添加步驟(7)中證書/密鑰的工作路徑
[root@localhost certs]# cd /usr/local/openldap-2.4.44/etc/openldap/
[root@localhost openldap]# vim slapd.conf
TLSCACertificateFile /usr/local/openldap-2.4.44/etc/openldap/cacerts/ca.crt
TLSCertificateFile /usr/local/openldap-2.4.44/etc/openldap/ldapserver.crt
TLSCertificateKeyFile /usr/local/openldap-2.4.44/etc/openldap/ldapkey.pem

6. 啟動LDAPS

#”-d 256”是為debug,後臺運行不需要;
[root@localhost ~]# /usr/local/openldap-2.4.44/libexec/slapd -h “ldaps://0.0.0.0:636/” -d 256

#或者:[root@localhost ~]# /usr/local/openldap-2.4.44/libexec/slapd -h “ldaps:///” -d 256

#或者同時啟動389與636埠:[root@localhost ~]# /usr/local/openldap-2.4.44/libexec/slapd -h “ldap:/// ldaps:///” -d 256

7. 啟動驗證

[root@localhost ~]# netstat –tunlp 

8. 通過ldapdmin驗證

1) 修改已通過389埠可訪問資料庫的屬性:資料庫名,右鍵-->Properties;

2) 修改389埠為636埠;

3) 彈出視窗提示,選擇" View Certificate",點擊"Yes";

4) 可以查看證書相關信息,選擇"安裝證書",一路預設"下一步";

5) 證書導入成功;

6) 通過636埠已可以訪問資料庫。


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 表的命名 --表的命名主要圍繞兩個字 “簡”“明”來進行命名 oracle資料庫中的一個機制: --要知道Oracle數據內保存的所有表的名字和欄位名字都是大寫形式 1、取名要有一定的意義 2、多個英文單詞用下劃線連接 原因: 就是由於oracle資料庫內保存的所有表名和欄位名都是大寫形式保存的 所 ...
  • nfs原理 1.開啟RPC服務 2.NFS向RPC服務註冊啟動的埠 3.用戶向RPC詢問NFS服務的埠 4.RPC返回埠給客戶端 5.客戶端通過獲得的埠與NFS伺服器進行數據傳輸 實驗步驟 一、準備 1.檢查系統版本信息 2.檢查是否安裝nfs和rpc服務 3.安裝服務 二、配置 1.啟動r ...
  • 本節目標: 通過DMA,無需中斷,接收不定時長的串口數據 描述:當在串口多數據傳輸下,CPU會產生多次中斷來接收串口數據,這樣會大大地降低CPU效率,同時又需要CPU去做其它更重要的事情,我們應該如何來優化?比如四軸飛行器,當在不停地獲取姿態控制方向時,又要去接收串口數據.答:使用DMA,無需CPU ...
  • 繼續第三天學習,每天下班後積累一點點,始終相信厚積薄發。 一、處理文件的命令 touch dest_file:在當前目錄下創建指定的文件。 cp source dest:將指定的猿文件複製到目標文件,並且以dest命名。雖然說這個命令有點重命名文件的影子,但是區別就是目標文件有新的修改時間。 cp ...
  • RHEL(Oracle Linxu/CentOS)系統下,如果使用sendmail發送郵件,如果不特殊設置,一般發件箱地址為user@hostname,例如,hostname為DB-Server.localdomain,在root用戶下使用下麵命令發送一封郵件: [root@DB-Server ~]... ...
  • nginx編譯安裝步驟 ①. 檢查軟體安裝的系統環境 cat /etc/redhat-release uname -r ②. 安裝nginx的依賴包(pcre-devel openssl-devel) 假設不進行安裝 yum install -y pcre-devel openssl-devel ③ ...
  • 我們可以把路由器比作網路世界的骨架,我們之所以能夠在網路世界里暢游,很大程度上是得益於這個鐵盒子。 路由器硬體架構 隨著專用多核網路處理器、專用轉發晶元的出現,使得現代路由器擺脫了以往純軟體轉發的局限,向著高吞吐率、硬體快速轉發等方向發展。高端的路由器設計成多板分散式+冗餘備份的架構,使轉發能力成倍 ...
  • 本文目錄: 1.幾個顯示函數2.action函數3.is_true和is_false函數4.confirm函數5.pid檢測相關函數 5.1 checkpid、__pids_var_run和__pids_pidof函數 5.2 pidfileofproc和pidofproc函數6.重頭戲(一):da ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...