搜索

第 74 章 如果 web 服务器和 LDAP 服务器证书在整个 IdM 部署中已过期

download PDF

身份管理(IdM)使用以下服务证书:

  • LDAP (或 目录)服务器证书
  • Web (或 httpd)服务器证书
  • PKINIT 证书

在没有 CA 的 IdM 部署中,certmong er 默认不跟踪 IdM 服务证书或通知其过期。如果 IdM 系统管理员没有手动设置这些证书的通知,或者将 certmonger 配置为跟踪它们,则证书将在不通知的情况下过期。

按照以下流程,为运行在 server.idm.example.com IdM 服务器上的 httpd 和 LDAP 服务手动替换过期的证书。

注意

HTTP 和 LDAP 服务证书在不同 IdM 服务器上具有不同的密钥对和主题名称。因此,您必须单独更新每个 IdM 服务器中的证书。

先决条件

流程

  1. (可选)执行 /var/lib/ipa/private/var/lib/ipa/passwds 的备份。
  2. 如果您没有使用同一 CA 对新证书进行签名,或者已安装的 CA 证书不再有效,请使用包含外部 CA 的有效 CA 的文件更新本地数据库中外部 CA 的信息。文件在 PEM 和 DER 证书、P PKCS#7 证书链、PKCS#8 和原始私钥和 PKCS#12 格式接受。

    1. ca_certificate_chain_file.crt 中提供的证书作为额外的 CA 证书安装到 IdM 中:

      # ipa-cacert-manage install ca_certificate_chain_file.crt
    2. 使用来自 ca_certicate_chain_file.crt 的证书更新本地 IdM 证书数据库:

      # ipa-certupdate
  3. httpd 和 LDAP 请求证书:

    1. 使用 OpenSSL 工具,为在 IdM 实例上运行的 Apache Web 服务器创建到第三方 CA 的证书签名请求(CSR)。

      • 创建新私钥是可选的。如果您仍然有原始私钥,可以将 -in 选项与 openssl req 命令一起使用,以指定要从中读取请求的输入文件名:

        $ openssl req -new -nodes -in /var/lib/ipa/private/httpd.key -out /tmp/http.csr -addext 'subjectAltName = DNS:_server.idm.example.com_, otherName:1.3.6.1.4.1.311.20.2.3;UTF8:HTTP/server.idm.example.com@IDM.EXAMPLE.COM' -subj '/O=IDM.EXAMPLE.COM/CN=server.idm.example.com'
      • 如果要创建新密钥:

        $ openssl req -new -newkey rsa:2048 -nodes -keyout /var/lib/ipa/private/httpd.key -out /tmp/http.csr -addext 'subjectAltName = DNS:server.idm.example.com, otherName:1.3.6.1.4.1.311.20.2.3;UTF8:HTTP/server.idm.example.com@IDM.EXAMPLE.COM' -subj '/O=IDM.EXAMPLE.COM/CN=server.idm.example.com'
    2. 使用 OpenSSL 实用程序为 IdM 实例上运行的 LDAP 服务器创建证书签名请求(CSR):

      $ openssl req -new -newkey rsa:2048 -nodes -keyout ~/ldap.key -out /tmp/ldap.csr -addext 'subjectAltName = DNS:server.idm.example.com, otherName:1.3.6.1.4.1.311.20.2.3;UTF8:ldap/server.idm.example.com@IDM.EXAMPLE.COM' -subj '/O=IDM.EXAMPLE.COM/CN=server.idm.example.com'
    3. 将 CSR、/tmp/http.csrtmp/ldap.csr 提交到外部 CA,并获取 httpd 的证书和 LDAP 的证书。这个过程根据要用作外部 CA 的服务的不同而有所不同。
  4. httpd 安装证书:

    # cp /path/to/httpd.crt /var/lib/ipa/certs/
  5. 将 LDAP 证书安装到 NSS 数据库中:

    1. [可选] 列出可用证书:

      # certutil -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM/ -L
      Certificate Nickname                                         Trust Attributes
                                                                   SSL,S/MIME,JAR/XPI
      
      Server-Cert                                                  u,u,u

      默认证书 nickname 是 Server-Cert,但可能应用了不同的名称。

    2. 使用上一步中的证书 nickname 从 NSS 数据库(NSSDB)中删除旧的无效证书:

      # certutil -D -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM/ -n 'Server-Cert' -f /etc/dirsrv/slapd-IDM-EXAMPLE-COM/pwdfile.txt
    3. 创建 PKCS12 文件以简化导入过程到 NSSDB 中:

      # openssl pkcs12 -export -in ldap.crt -inkey ldap.key -out ldap.p12 -name Server-Cert
    4. 将创建的 PKCS#12 文件安装到 NSSDB 中:

      # pk12util -i ldap.p12 -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM/ -k /etc/dirsrv/slapd-IDM-EXAMPLE-COM/pwdfile.txt
    5. 检查新证书是否已成功导入:

      # certutil -L -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM/
  6. 重启 httpd 服务:

    # systemctl restart httpd.service
  7. 重启 Directory 服务:

    # systemctl restart dirsrv@IDM-EXAMPLE-COM.service
  8. 在所有 IdM 副本中执行所有前面的步骤。这是在副本之间建立 TLS 连接的先决条件。
  9. 将新证书注册到 LDAP 存储:

    1. 将 Apache Web 服务器的旧私钥和证书替换为新密钥和新签名证书:

      # ipa-server-certinstall -w --pin=password /var/lib/ipa/private/httpd.key /var/lib/ipa/certs/httpd.crt

      在以上命令中:

      • -w 选项指定您要将证书安装到 Web 服务器中。
      • pin 选项指定保护私钥的密码。
    2. 出现提示时,输入 目录管理器 密码。
    3. 将 LDAP 服务器的旧私钥和证书替换为新密钥和新签名的证书:

      # ipa-server-certinstall -d --pin=password /etc/dirsrv/slapd-IDM-EXAMPLE-COM/ldap.key /path/to/ldap.crt

      在以上命令中:

      • -d 选项指定您要将证书安装到 LDAP 服务器中。
      • pin 选项指定保护私钥的密码。
    4. 出现提示时,输入 目录管理器 密码。
    5. 重启 httpd 服务:

      # systemctl restart httpd.service
    6. 重启 Directory 服务:

      # systemctl restart dirsrv@IDM-EXAMPLE-COM.service
  10. 在所有其他受影响的副本上执行上一步中的命令。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.