为了敏感数据(如账户信息等)在传输过程中不轻易暴露,用SSL连接是必须的。在安装完openldap后,可以首先生成一些key和certificate文件,然后配置ldap的SSL服务端。
工具:Linux平台下的openssl - 用于生成SSL需要的签名验证
Winscp - 用于Windows访问在Linux里生成好的的文件
1. 生成证书和签名
a. 产生证书文件
打开Linux terminal, 新建一个文件夹名为CA及子目录[mkdir]:[
certs
newcerts
private
crl
以及文件[touch]:
index.txt
serial,打开serial,在里面写入01
这是CA操作需要的文件夹,相当于一个CA系统。
切换到certs目录
随着计算机性能的不断提高,破译1024位RSA的私钥已有可能。所以这里提高到2048位:
i. 生成key的同时自签名
openssl req -new -x509 -newkey rsa:2048 -keyout ca.key -out ca.crt -days 7305
或者:
ii. 先生成key,然后再签名
# 生成根证书所用的密钥
openssl genrsa -des3 -out ca.key 2048
# 去除CA密钥的口令
openssl rsa -in ca.key -out ca.key
# 生成CA即ROOT CA证书并自签
openssl req -new -x509 -key ca.key -out ca.crt -days 7305
b. 生成服务端和客户端的私钥(private key)
openssl genrsa -des3 -out server.key 2048
openssl genrsa -des3 -out client.key 2048
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或Api)都需输入口令。如果是Windows开启OpenLdap服务,最好是执行下面的命令,否则系统会一直等待用户输入口令。
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
openssl rsa -in client.key -out client.key
c. 生成服务端和客户端的证书签名申请(CSR - Certificate Signing Request)
从名字可以看出,CSR只是在申请过程中使用到。
这里输入的省,市,公司名称,部门名称,域名必须和CA的一致
openssl req -new -key server.key -out server.csr
openssl req -new -key client.key -out client.csr
d. 用生成的CA证书为服务端和客户端的CSR签名:
这里可以指定证书的有效天数
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 7305
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -days 7305
还可以生成jks格式的证书文件:
openssl x509 -req -in gorgeous.csr -out gorgeous.crt -CA ca.crt -CAkey ca.key -days 2920 -CAcreateserial -sha1 -CAserial ca.srl -trustout
这里的gorgeous.csr是由keytool生成的证书申请文件。
client使用的文件有:ca.crt,client.crt,client.key
server使用的文件有:ca.crt,server.crt,server.key
如果openldap是部署在Windows系统上,需要使用WinSCP连接Linux系统,并下载生成的这些文件到OpenLDAP的某个文件夹下
2. 部署
在slapd.conf文件中添加SSL配置:
参看
OpenLdap安装与配置
因为我客户端连接没有使用验证,所以TLSVerifyClient设置为never,不然会连接不上
3. 启动LDAP
参看
OpenLdap安装与配置
服务启动后,就会接受SSL连接。
分享到:
相关推荐
文档内容: 1、为啥要用TLS? 2、SSL/TLS 加密原理简介; 3、Openldap配置TLS加密传输步骤; 4、ldapclient客户端测试;
OpenLDAP安装配置文档 配置OpenLDAP服务器 关闭防火墙或清空防火墙规则 一、 安装 二、 配置 三、 迁移密码和shadow信息 配置OpenLDAP客户端 OpenLDAP客户端sudo提权设定
配置-OpenLDAP-来做系统用户认证
主讲OpenLdap安装及配置,OpenLdap是配置ldap的服务器。
OpenLdap搭建配置日志索引,自己开发过程中踩的坑记录下来的。包好使。
mediawiki和ldap的配置组合,一步一步教你做
配置OpenLDAP使用Kerberos验证[参考].pdf
该文档主要介绍在centos6.7系统上部署openldap主从配置
openldap在windows安装配置.pdf
本文档是参考了官网文档及网上多篇openldap安装及主从部署文档,详细描述了部署过程
集中式认证系统(CAS,jasig组织开发的)主要用于实现单点登录。该系统常常要求连到一个集中式管理用户...本文描述了cas如何配置才能连上OpenLDAP。假设你的OpenLDAP已正确安装。文中的dc,读者可视自己的情况进行替换。
centos环境 openldap环境搭建与配置
很好openldap的配置手册.网上很多教程都是有问题的。这个文档是比较全面的
配置OpenLDAP使用TLS通讯,内容丰富,总结全面
ldap连接工具 LdapBrowser-6.10.x-win-x86是一款实用的用于连接OpenLDAP的工具
本文详细讲述了openldap的配置方法及如何初始化openldap
openldap 资料大全,安装配置等等
OpenLDAP quickstart 配置文件,仅适用于个人博客的前2章内容。
OpenLDAP安装与配置(ubuntu-12.04).docx