1.4. 使用 Web 控制台启用对 Directory 服务器的 TLS 加密连接

流程

1. 导航到 Server Security Certificate Management Certificate Signing Request，再单击 Create Certificate Signing Request。

2. 为证书签名请求(CSR)、通用名称(CN)和机构(O)设置名称：

   

   View larger image

   

   如果您的主机可以被多个名称访问，请在 Subject Alternative Names 文件中设置替代名称。

3. 单击 Create Certificate Signing Request。

4. 查看 CSR 文本并复制它：

   1. 单击您要查看的 CSR 的 Node options 图标，然后选择 View CSR。
   2. 复制 CSR 内容。
5. 将 CSR 文件提交到证书颁发机构(CA)以获取签发证书。详情请查看您的 CA 文档。
6. 从 CA 获取证书时，导航到 Server Security Certificate Management TLS Certificates，然后单击 Add Server Certificate。

7. 为服务器证书设置唯一 nickname，上传发布的证书，然后点 Add Certificate。

   请记住证书别名，因为后续步骤需要它。

8. 导航到 Server Security Certificate Management Trusted Certificate Authorities，然后单击 Add CA 证书。
9. 为 CA 证书设置唯一 nickname，上传 CA 证书文件，然后点 Add Certificate。

10. 可选：如果您在 Directory Server 实例安装过程中没有启用 TLS 加密，请启用它：

    1. 导航到 Server Security Settings，再启用安全交换机。
    2. 在弹出窗口中点 Enable Security。
    3. 在 Security Setting 页面上，单击 Save Configuration。

11. 在安全配置页面中的配置服务器证书名称：

    1. 导航到 Server Security Security Configuration。
    2. 在 Server Certificate Name 下拉列表中选择服务器证书 nickname，然后点 Save Configuration。
    3. 可选： 如果您在下拉列表中没有看到证书 nickname，请刷新 Security Settings 页面并再次执行上一步。
12. 可选： 如果要使用 636 以外的 LDAPS 端口，请导航到 Server Server Settings，设置 LDAPS 端口，然后点 Save。

13. 在 firewalld 服务中打开 LDAPS 端口：

    # firewall-cmd --permanent --add-port=636/tcpfirewall-cmd --permanent --add-port=636/tcpfirewall-cmd --permanent --add-port=636/tcp
    # firewall-cmd --reload

    Copy to Clipboard Toggle word wrap

14. 可选：进入到 Server Security Security Configuration，选择 Require Secure Connections，点 Save Configuration。

    目录服务器禁用纯文本 LDAP 端口。

15. 点右上角的 Actions，然后选择 Restart Instance。