您的位置:360文档中心› ldap证书管理

ldap证书管理

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

LDAP证书管理测试文档

一.LDAP服务器的安装

1首先在linux 9的光盘中安装以下的3个rpm的软件包。

openldap-clients-2.0.27-8.i386.rpm

openldap-devel-2.0.27-8.i386.rpm

openldap-servers-2.0.27-8.i386.rpm

2 安装成功后cd /etc/init.d中会发现有一个ldap的文件,表示安装成功。

二.Openssl服务器的安装。

1 在网上找到openssl-0.9.8a.tar.gz 或者更高的版本

./configure

make

make install

三.修改LDAP服务器的配置文件

1 修改/etc/openldap/slapd.conf,加入以下

suffix "dc=pip,dc=com" (表示基准DN)

rootdn "cn=admin,dc=pip,dc=com" (表示DN的管理员)

rootpw 123456 (表示管理员密码)

保存

2 修改/etc/openldap/ldap.conf,加入以下

HOST 127.0.0.1

BASE dc=pip,dc=com

3 重启动ldap服务

srvice ldap restart

netstat –nvl 如果发现有389端口这就说明现在ldap的服务已经可以正常的使用了

四.通过openssl制作CA证书

1 .CA证书

1)生成ca密钥(生成私钥)

openssl genrsa -out cakey.pem 1024

2)生成ca证书(通过生成私钥生成请求证书)

openssl req -new -out cacert.csr -key cakey.pem

3)用ca密钥签名(通过私钥生成公钥)

openssl x509 -req -in cacert.csr -out cacert.pem -signkey cakey.pem -days 3650

这样就生成了cakey.pem这个CA的证书。

五.制作ldif文件,往ldap数据库中添加用户,和CA证书

1 首先需要建立一个根的ldif文件

V i root.ldif

dn: dc=pip,dc=com

objectClass: dcObject

objectClass: organization

dc: pip

o: The Example Corporation

保存

2 把这个文件加载到ldap数据库中

ldapadd -x -D cn=admin,dc=pip,dc=com -W -f root.ldif

ldapsearch -x -b dc=pip,dc=com (查看)

如果能发现有

# pip, com

dn: dc=pip,dc=com

objectClass: dcObject

objectClass: organization

dc: pip

o: The Example Corporation

这就说明这个根已经上传成功。

3 制作含有用户CA证书的ldif文件并上传到数据库中

vi ca.ldif

dn:cn=ca dc=pip,dc=com

cn:ca

sn:ca

uid:ca

ou:legendsec

userPassword:ca123

mail:wanglili@

objectClass:inetOrgPerson

userCertificate;binary::

MIICdjCCAd8CAQUwDQYJKoZIhvcNAQEEBQA wejELMAkGA1UEBhMCemcxCzAJBgNV BAgTAmJqMQswCQYDVQQHEwJoZDELMAkGA1UEChMCc2QxCzAJBgNVBAsTAnd5M RIwA1UEChMGZ3VvbWFvMRMwEQYDVQQLEwphb3R1ZGlhbnppMREwDwYDVQQDE whmaXJl

保存,userCertificate;binary::表示以二进制形式上传证书。后面的是用openssl生成的cakey.pem这个证书的内容。这个证书的格式非常严格,一定要按照上面的格式书写,不然上传的证书的内容会有变化。

ldapadd -x -D cn=admin,dc=pip,dc=com -W -f ca.ldif

ldapsearch -x -b dc=pip,dc=com (查看)

六把CA证书倒入到a防火墙CA服务器中

1如图

图一

也可以按照证书的所有者组织ou=legendsec 或者其他条件mail:wanglili@

进行查询。

2 导入CA

图二

七在a防火墙生成本地证书的请求文件,并到CA中心进行签发,签发后生成本地证书。

1在a防火墙的本地证书中点击密钥本地生成,完成生成本地请求文件fw1.req,并把这个req从a防火墙导出,把它通过FTP或者别的文件传输的形式,传到openssl这个linux的服务器上。

2在服务器上运行openssl x509 -req -in fw1.req -out fw1.pem -CA cacert.pem -CAkey cakey.pem -CAcreateserial -days 3650 生成本地证书。名字为fw1.pem。

3 制作含有a防火墙本地证书的用户ldif文件。

vi fw1.ldif

dn:cn=fw1,dc=pip,dc=com

cn:fw1

sn:fw1

uid:fw1

相关文档
最新文档