信任用于 LDAP over TLS 的自签名 SSL 证书 (RHEL)

信任用于 LDAP over TLS 的自签名 SSL 证书 (RHEL)

我的设置

  • Mac OS X Server (El Capitan) 作为 OpenDirectory 服务器
  • RHEL 6.5 通过 LDAP 连接进行身份验证

我已将 RHEL 服务器上的 /etc/sysconfig/authconfig 设置为“FORCELEGACY=yes”,以测试 LDAP 连接。但是,现在我需要通过 TLS 实现 LDAP。我需要使用自签名证书,但不幸的是,我对 SSL 的了解有限。我已阅读了数十份指南和文档,它们都指示我采取不同的措施将证书添加到 RHEL 上的受信任数据库中。到目前为止,没有任何方法奏效。

我需要实现的目标

  • 从 OS X 下载适当的证书(以正确的格式)
  • 将证书放在 RHEL 上的正确位置
  • 将证书添加到 RHEL 的受信任证书数据库

我一直在为此绞尽脑汁,所以任何意见都值得赞赏。由于我对 SSL 的了解有限,而且网上的信息量各不相同,请在您的回复中提供尽可能详细的信息!谢谢 :)

以供参考
我按照以下步骤尝试导入 SSL 证书:

openssl s_client -connect server:443 <<<'' | openssl x509 -out /root/ca.pem
cp /root/ca.pem /etc/pki/ca-trust/source/anchors/
update-ca-trust enable; update-ca-trust extract

这没有任何作用。命令执行正常,但我仍然遇到错误,/var/log/messages提示由于证书不受信任而无法启动 TLS。然后我尝试手动添加证书:

cp /root/ca.pem /etc/pki/tls/certs
cd /etc/pki/tls/certs
ln -sv ca.pem $(openssl x509 -in ca.pem -noout -hash).0

这也没什么作用。

 
我看了看本 RedHat 指南关于certutil,但它要求提供 certdbPath,而我不太确定那是什么。示例如下:
certutil -L -d certdbPath -n userCertName -r > userCert.bin

虽然这个命令对我来说似乎不太合适。 certutil确实有一个“添加到数据库”标志,这似乎是我需要的,但它要求我提供一些我不确定的东西(例如信任)。我使用的命令是:(certutil -A -n ca.pem我知道它不完整)

相关内容