brouillon_mds
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
brouillon_mds [2009/04/30 23:06] – thierry | brouillon_mds [2009/05/04 21:53] (Version actuelle) – thierry | ||
---|---|---|---|
Ligne 334: | Ligne 334: | ||
===== SSL ===== | ===== SSL ===== | ||
Lien: http:// | Lien: http:// | ||
+ | |||
+ | |||
==== creer CA ==== | ==== creer CA ==== | ||
- | Source: http:// | + | Source: |
+ | *http:// | ||
+ | *http:// | ||
# dpkg -S CA.pl | # dpkg -S CA.pl | ||
Ligne 344: | Ligne 348: | ||
openssl: / | openssl: / | ||
- | # cd /root | + | Ce script " |
- | # mkdir certs | + | |
- | # cd certs | + | # mkdir / |
- | # cp / | + | # cd / |
+ | # / | ||
+ | |||
+ | | :!: la pass-phrase est obligatoire ! donc, bien la choisir pour s'en souvenir ! | | ||
- | # ./CA.pl -newca | ||
- | CA certificate filename (or enter to create) | ||
- | < | ||
- | ... | ||
- | Enter PEM pass phrase: < | ||
- | ... | ||
- | < | ||
- | ... etc... | ||
- | Enter pass phrase for ./ | ||
- | ... | ||
- | Augmenter la durée de validité : | ||
- | # openssl x509 -in demoCA/ | ||
"Notre CA est maintenant prêt à être utilisé pour générer des certificats ! " | "Notre CA est maintenant prêt à être utilisé pour générer des certificats ! " | ||
+ | Il est dans **'' | ||
+ | Pour la suite, on le copiera dans **''/ | ||
+ | # cp ./ | ||
- | ==== creation certificat ==== | + | ( Mais faites comme vous voulez, tant que vous adaptez la configuration en conséquence ) |
- | Source: http:// | + | |
- | | + | ==== server ==== |
+ | On va générer un certificat pour le serveur: (toujours dans **''/ | ||
+ | | ||
+ | # openssl req -new -key server.key -out server.req | ||
+ | # openssl ca -in server.req -extensions v3_ca -out server.pem -days 3650 | ||
- | " | + | Le nom **'' |
- | Signer: | + | :!: Par contre, le " |
- | # ./ | + | # hostname -f |
+ | mds.thierry-jaouen.local | ||
- | Decryptage de clé: | + | Sinon, " |
- | # openssl rsa -in newkey.pem -out newkey_decrypt.pem | + | |
- | ==== serveur | + | ==== client |
+ | Cerise sur le cake, on peut générer des certificats pour les clients, en changeant simplement " | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== configuration simple ==== | ||
+ | === serveur | ||
Dans **''/ | Dans **''/ | ||
- | TLSCACertificateFile /etc/ldap/k/ca.crt | + | TLSCACertificateFile /etc/ldap/ssl/cacert.pem |
- | TLSCertificateFile /etc/ldap/k/server.crt | + | |
- | TLSCertificateKeyFile /etc/ldap/k/server.key | + | TLSCertificateFile / |
+ | TLSCertificateKeyFile /etc/ldap/ssl/server.key | ||
+ | |||
+ | Confusion étrange entre " | ||
+ | |||
+ | === client === | ||
- | ==== client ==== | ||
Dans **''/ | Dans **''/ | ||
- | | + | |
- | | + | |
+ | === test === | ||
+ | A partir du client: | ||
+ | $ ldapsearch | ||
+ | Ok | ||
- | ==== test ==== | + | Alors que: |
+ | $ ldapsearch -s sub -x -H ldap:// | ||
+ | ldap_start_tls: | ||
+ | Etrange, ca me semblait équivalent... | ||
+ | Le port " | ||
- | $ ldapsearch -s sub -x -H ldaps:// | ||
- | Ok | ||
- | $ ldapsearch -s sub -x -H ldap:// | ||
- | Ok | ||
+ | ==== configuration complete ==== | ||
+ | Serveur et Client avec des certificats... on peut rever... | ||
brouillon_mds.1241132817.txt.gz · Dernière modification : 2009/04/30 23:06 de thierry