我正在尝试在 RHEL 机器中设置新的 389 目录服务器,并尝试使用命令行为 LDAPS 配置 SSL。
我刚刚花了几个小时研究了有关如何执行此操作的每一条信息,但每个页面都在谈论用于生成 CA 和证书的 certutil。我已经拥有证书和相应的 CA 链文件以导入服务器,并且不想让 LDAP 服务器生成它们。
我是不是漏掉了什么?Certutil 有一个 -A 标志,用于将证书添加到数据库,但我找不到添加密钥的方法,只有证书的公共部分,如果没有相应的密钥,它就没用了。
答案1
回答我自己的问题。事实证明,您可以使用 pk12util 从 p12 导入证书和密钥,但是存在一些问题。这些是基于 redhat DS 9.0 后续的二进制文件
Pk12util 在导入时不会尊重 -n 标志。导入的证书条目昵称将是 p12 文件中的别名。此外,无论出于什么原因,我在导入 p12 密钥库中具有不同昵称的 2 个不同证书时遇到了问题。存储中的昵称最终会与其中的另一个昵称相同。这可能是由于证书的主题相同而引发的。添加具有不同值的 OU 属性解决了该问题。然后可以使用 Certutil 导入 CA 证书