이미 요청을 받았지만 많은 시간의 연구에도 불구하고 작동하는 솔루션을 찾을 수 없었습니다. 서버에 루트 인증서를 설치하려고하므로 내부 서비스가 SSL을 사용하여 서로 바인딩 될 수 있습니다.
새로운 루트 CA에 대해 알아야 할 사항 :
- 아파치 httpd와 PHP
- OpenLDAP 클라이언트
- Node.js
Apache의 경우 루트 인증서에 대해 알아야 할 PHP 응용 프로그램이 필요합니다. 따라서 사이트가 다른 SSL 웹 사이트 (같은 CA에서 서명 한)에 연결하면 제대로 작동하며 자체 서명 된 인증서에 대해 불평하지 않습니다.
OpenLDAP의 경우 PHP와 동일하다고 생각합니다. 사용하는 모듈은 상당히 오래되었습니다. Net_LDAP2이며 PEAR과 함께 설치되었습니다. 로컬 openldap 구성을 편집하려고 시도했지만 시스템에서 사용하지 않는 것 같습니다.
파 사이드에 사용하는 마지막 Node.js. SSL을 제대로 연결하려면 node.js 서버가 CA를 신뢰해야합니다.
나는 거의 성공하지 않고 /etc/pki/tls/certs/ca-bundle.crt에 인증서를 추가하려고 시도했습니다.
httpd에는 루트 CA가 표시되지 않지만 tomcat 및 389와 같은 다른 서비스가 작동하도록했습니다.
당신의 지원에 감사드립니다.
답변
내 RHEL 6 상자에서 man 8 update-ca-trust매뉴얼 페이지에는 시스템 전체의 CA 인증서 및 관련 트러스트를 관리하는 방법에 대한 광범위한 설명이 있습니다.
위의 의견에서 알 수 있듯이 구성이 응용 프로그램에 따라 달라지지 않는 경우가 더 많습니다.
답변
SSL의 초보자에게 더 접근하기 쉬운 명령 줄을 작성했습니다.
PKI 폴더로 이동
$ cd /etc/pki/tls/certs/
VERIFY (하드) 링크 및 백업 인증서
$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
CentOS에 CA 체인 업로드
$ scp <cachain> root@sydapp28:/tmp
SSH (Putty?) 또는 로컬을 통해 CentOS에 연결
$ ssh -C root@sydapp28
PKCS12 CAChain 인 경우 : “내부 CA 체인 인증서를 PEM 형식으로 변환하고 헤더 제거”:
$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
내부 CA를 CentOS에 추가
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot