Centos

在 CentOS 6 中安裝根證書

  • November 25, 2015

我知道已經有人問過了,但是儘管進行了數小時的研究,我還是找不到可行的解決方案。我正在嘗試在我的伺服器中安裝我的根證書,因此內部服務可以使用 SSL 相互綁定。

關於新的根 CA 應了解的資訊:

  1. Apache httpd 和 PHP
  2. OpenLDAP 客戶端
  3. 節點.js

對於 Apache,我需要一個 PHP 應用程序來了解根證書,所以如果一個站點連接到另一個 SSL 網站(由同一個 CA 簽名),它可以正常工作並且它不會抱怨自簽名證書。

對於 OpenLDAP,我相信它和 PHP 一樣,它使用的模組很舊,它是 Net_LDAP2,與 PEAR 一起安裝。我嘗試編輯本地 openldap 配置,但係統似乎沒有使用它。

最後一個 Node.js,我用於 parsoid。node.js 伺服器必須信任 CA 才能建立良好的 SSL 連接。

我嘗試將證書添加到 /etc/pki/tls/certs/ca-bundle.crt 但收效甚微。

雖然 httpd 看不到根 CA,但我設法讓其他服務使用它,例如 tomcat 和 389。

謝謝您的支持。

在我的 RHEL 6 框中,man 8 update-ca-trust手冊頁對如何/應該管理系統範圍的 CA 證書和相關信任有相當廣泛的解釋。

正如上面的評論所指出的那樣,更多的時候不是配置是特定於應用程序的。

我寫了一些命令行,以便 SSL 中的新手更容易訪問:

導航到 PKI 文件夾

$ cd /etc/pki/tls/certs/
 

驗證(硬)連結和備份證書

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
 

上傳 CA 鏈到 CentOS

$ scp <cachain> root@sydapp28:/tmp 
 

通過 SSH(Putty?)或本地連接到 CentOS

$ ssh -C root@sydapp28
 

IF PKCS12 CAChain:“將您的內部 CA 鏈證書轉換為 PEM 格式並刪除標頭”:

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
 

將您的內部 CA 附加到 CentOS

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot

引用自:https://serverfault.com/questions/559571