如何更新自签名CA证书openldap

如何更新自签名CA证书openldap

一年前,我们根据以下 Ubuntu 教程建立了一个 openldap 系统: https://help.ubuntu.com/lts/serverguide/openldap-server.html

现在CA证书已经过期。

TLS 不再起作用。

对于如何更新证书有什么想法吗?

答案1

好吧,我们自己找到了解决方案。对于那些感兴趣的人,我们做了以下事情:

显然我们忘记设置到期天数,默认为 365 天。这就是它过期的原因。

openldap 服务器只使用 CA 证书 cacert.pem、服务器私钥 (hostname.slapd.pem) 和服务器证书 (使用 cacert.pem 签名) 的路径。这意味着我们不必更改 openldap 配置。

我们只需要重新创建/替换 CA 证书。为了方便起见,我们保留了私有证书颁发机构密钥和私有服务器密钥。

  1. 我们使用现有的私有 CA 密钥重新创建了 CA 证书,并确保有效期值大于一年。我们之前使用过模板文件,只是添加了有效期行。

  2. 我们使用现有的服务器私钥重新创建了服务器证书,并使用步骤 1 中新创建的 CA 证书进行签名。

  3. 我们重启了 slapd 服务

如果您正在使用复制从属 openldap 服务器,请不要忘记使用新的 CA 证书签署新的从属服务器证书,然后重新启动 slapd 服务。然后复制应该可以正常工作。

现在所有一切都已解决。

相关内容