Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

--- fortgeschrittene:ldap-ssl [2017/03/31 12:06]
ingo_wichmann [slapd konfigurieren]
+++ fortgeschrittene:ldap-ssl [2025/11/14 16:32] (aktuell)
@@ Zeile 9: / Zeile 9: @@
 ===== Als root Zertifikate, Anträge und Schlüssel an die passenden Stellen kopieren =====
-==== Debian ====
+==== Debian (ab 8) ====
 Paket: ssl-cert (( legt die gruppe ''ssl-cert'' an und setzt passende Berechtigungen für ''/etc/ssl/private'' ))
-  cd /etc/ssl
+  adduser openldap ssl-cert
-  cp /root/server-ssl/servercert.pem  certs/
+  sudo -u openldap -g openldap openssl rsa -in /etc/ssl/private/ssl-cert-snakeoil.key -noout -check
-  cp /root/server-ssl/serverkey.pem   private/
+-> ''RSA key ok''
-  cp /home/ca/ca.*/cacert.pem certs/
+  sudo -u openldap -g openldap openssl x509 -in /etc/ssl/certs/ssl-cert-snakeoil.pem -noout -subject
+-> ''subject=CN=vm1.z45.internal''
-  chgrp ssl-cert private/serverkey.pem
-  chmod 440 private/serverkey.pem
-  chmod 444 certs/{server,ca}cert.pem
+  service slapd restart
 ===== slapd konfigurieren =====
-<file ldif olcSSL.ldif>
+<file ldif olcTls.ldif>
 dn: cn=config
-add: olcTLSCACertificateFile
+changetype: modify
-olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
+add: olcTlsCaCertificateFile
+olcTlsCaCertificateFile: /etc/ssl/certs/ssl-cert-snakeoil.pem
 -
-add: olcTLSCertificateKeyFile
+add: olcTlsCertificateFile
-olcTLSCertificateKeyFile: /etc/ssl/certs/servercert.pem
+olcTlsCertificateFile: /etc/ssl/certs/ssl-cert-snakeoil.pem
 -
-add: olcTLSCertificateFile
+add: olcTlsCertificateKeyFile
-olcTLSCertificateFile: /etc/ssl/private/serverkey.pem
+olcTlsCertificateKeyFile: /etc/ssl/private/ssl-cert-snakeoil.key
 </file>
@@ Zeile 39: / Zeile 37: @@
 ''/etc/ldap/slapd.conf'' : ( Debian 4.0 )
 <file>
-TLSCACertificateFile  /etc/ssl/certs/cacert.pem
+TLSCACertificateFile  /etc/ssl/certs/ssl-cert-snakeoil.pem
-TLSCertificateFile    /etc/ssl/certs/servercert.pem
+TLSCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
-TLSCertificateKeyFile /etc/ssl/private/serverkey.pem
+TLSCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
 </file>
 ))
-  ldapmodify -Y EXTERNAL -H ldapi:/// -f ./olcSSL.ldif
+  ldapmodify -Y EXTERNAL -H ldapi:/// -f ./olcTls.ldif
-  adduser openldap ssl-cert
+-> ''modifying entry "cn=config"''
+  ldapsearch -QY EXTERNAL -LLL cn=config olcTLSCACertificateFile olcTLSCertificateFile olcTLSCertificateKeyFile
 ''/etc/default/slapd'' :
@@ Zeile 60: / Zeile 59: @@
 ==== testen ====
-  openssl s_client -connect YOUR_LDAP_SERVER:636 -showcerts
+  openssl s_client -connect YOUR_LDAP_SERVER:636 -showcerts -CAfile /home/ca/ca.example.com/cacert.pem
 oder
-  openssl s_client -connect YOUR_LDAP_SERVER:389 -showcerts
+  openssl s_client -connect YOUR_LDAP_SERVER:389 -showcerts -starttls ldap -CAfile /home/ca/ca.example.com/cacert.pem
+(( erst mit https://github.com/openssl/openssl/pull/2293 verfügbar ))
+-> sollte u.a. ''Verification: OK'' ausgeben
 ===== Client einrichten =====
+  scp nutzer@192.168.245.101:/etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/vm1.z45.intern.cert.pem
 ''$HOME/.ldaprc'' :
 <file>
@@ Zeile 75: / Zeile 78: @@
 </file>
-===== Testen =====
+==== Testen ====
   ldapsearch -x -W -ZZ

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge