Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

--- fortgeschrittene:ldap-ssl [2012/03/22 23:08]
ingo_wichmann
+++ fortgeschrittene:ldap-ssl [2025/11/14 16:32] (aktuell)
@@ Zeile 1: / Zeile 1: @@
+Todo: DH-Parameter einbinden
 ====== SSL / TLS für OpenLDAP ======
 ===== Vorraussetzungen =====
@@ Zeile 7: / Zeile 9: @@
 ===== Als root Zertifikate, Anträge und Schlüssel an die passenden Stellen kopieren =====
-==== Debian ====
+==== Debian (ab 8) ====
-  cd /etc/ssl
+Paket: ssl-cert (( legt die gruppe ''ssl-cert'' an und setzt passende Berechtigungen für ''/etc/ssl/private'' ))
-  cp /root/server-ssl/servercert.pem  certs/
-  cp /root/server-ssl/serverkey.pem   private/
-  cp /home/ca/ca.*/ca.linuxhotel.de.cert.pem certs/
-  chgrp ssl-cert private/serverkey.pem
+  adduser openldap ssl-cert
-  chmod 440 private/serverkey.pem
+  sudo -u openldap -g openldap openssl rsa -in /etc/ssl/private/ssl-cert-snakeoil.key -noout -check
-  chmod 444 certs/{server,ca}*cert.pem
+-> ''RSA key ok''
-(( Todo: ist das Paket ''ssl-cert'' hier interessant? ))
+  sudo -u openldap -g openldap openssl x509 -in /etc/ssl/certs/ssl-cert-snakeoil.pem -noout -subject
+-> ''subject=CN=vm1.z45.internal''
+  service slapd restart
 ===== slapd konfigurieren =====
+<file ldif olcTls.ldif>
+dn: cn=config
+changetype: modify
+add: olcTlsCaCertificateFile
+olcTlsCaCertificateFile: /etc/ssl/certs/ssl-cert-snakeoil.pem
+-
+add: olcTlsCertificateFile
+olcTlsCertificateFile: /etc/ssl/certs/ssl-cert-snakeoil.pem
+-
+add: olcTlsCertificateKeyFile
+olcTlsCertificateKeyFile: /etc/ssl/private/ssl-cert-snakeoil.key
+</file>
+((
 ''/etc/ldap/slapd.conf'' : ( Debian 4.0 )
 <file>
-TLSCACertificateFile  /etc/ssl/certs/ca.linuxhotel.de.cert.pem
+TLSCACertificateFile  /etc/ssl/certs/ssl-cert-snakeoil.pem
-TLSCertificateFile    /etc/ssl/certs/servercert.pem
+TLSCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
-TLSCertificateKeyFile /etc/ssl/private/serverkey.pem
+TLSCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
 </file>
+))
-  adduser openldap ssl-cert
+  ldapmodify -Y EXTERNAL -H ldapi:/// -f ./olcTls.ldif
+-> ''modifying entry "cn=config"''
+  ldapsearch -QY EXTERNAL -LLL cn=config olcTLSCACertificateFile olcTLSCertificateFile olcTLSCertificateKeyFile
 ''/etc/default/slapd'' :
@@ Zeile 37: / Zeile 56: @@
 Dienst neu starten:
-  /etc/init.d/slapd restart
+  service slapd restart
 ==== testen ====
-  openssl s_client -connect YOUR_LDAP_SERVER:636 -showcerts
+  openssl s_client -connect YOUR_LDAP_SERVER:636 -showcerts -CAfile /home/ca/ca.example.com/cacert.pem
 oder
-  openssl s_client -connect YOUR_LDAP_SERVER:389 -showcerts
+  openssl s_client -connect YOUR_LDAP_SERVER:389 -showcerts -starttls ldap -CAfile /home/ca/ca.example.com/cacert.pem
+(( erst mit https://github.com/openssl/openssl/pull/2293 verfügbar ))
+-> sollte u.a. ''Verification: OK'' ausgeben
 ===== Client einrichten =====
+  scp nutzer@192.168.245.101:/etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/vm1.z45.intern.cert.pem
 ''$HOME/.ldaprc'' :
 <file>
@@ Zeile 55: / Zeile 78: @@
 </file>
-===== Testen =====
+==== Testen ====
   ldapsearch -x -W -ZZ

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge