2015证书管理.docVIP

LDAP证书管理测试文档 一．LDAP服务器的安装 1首先在linux 9的光盘中安装以下的3个rpm的软件包。 openldap-clients-2.0.27-8.i386.rpm openldap-devel-2.0.27-8.i386.rpm openldap-servers-2.0.27-8.i386.rpm 2 安装成功后cd /etc/init.d中会发现有一个ldap的文件，表示安装成功。 二．Openssl服务器的安装。 1 在网上找到openssl-0.9.8a.tar.gz 或者更高的版本 ./configure make make install 三．修改LDAP服务器的配置文件 1 修改/etc/openldap/slapd.conf,加入以下 suffix dc=pip,dc=com （表示基准DN） rootdn cn=admin,dc=pip,dc=com （表示DN的管理员） rootpw 123456 （表示管理员密码） 保存 2 修改/etc/openldap/ldap.conf,加入以下 HOST BASE dc=pip,dc=com 3 重启动ldap服务 srvice ldap restart netstat –nvl 如果发现有389端口这就说明现在ldap的服务已经可以正常的使用了 四．通过openssl制作CA证书 1 .CA证书 1）生成ca密钥（生成私钥） openssl genrsa -out cakey.pem 1024 2）生成ca证书（通过生成私钥生成请求证书） openssl req -new -out cacert.csr -key cakey.pem 3）用ca密钥签名（通过私钥生成公钥） openssl x509 -req -in cacert.csr -out cacert.pem -signkey cakey.pem -days 3650 这样就生成了cakey.pem这个CA的证书。 五．制作ldif文件，往ldap数据库中添加用户，和CA证书 1 首先需要建立一个根的ldif文件 Vi root.ldif dn: dc=pip,dc=com objectClass: dcObject objectClass: organization dc: pip o: The Example Corporation 保存 2 把这个文件加载到ldap数据库中 ldapadd -x -D cn=admin,dc=pip,dc=com -W -f root.ldif ldapsearch -x -b dc=pip,dc=com (查看) 如果能发现有 # pip, com dn: dc=pip,dc=com objectClass: dcObject objectClass: organization dc: pip o: The Example Corporation 这就说明这个根已经上传成功。 3 制作含有用户CA证书的ldif文件并上传到数据库中 vi ca.ldif dn:cn=ca dc=pip,dc=com cn:ca sn:ca uid:ca ou:legendsec userPassword:ca123 mail:wanglili@ objectClass:inetOrgPerson userCertificate;binary:: MIICdjCCAd8CAQUwDQYJKoZIhvcNAQEEBQAwejELMAkGA1UEBhMCemcxCzAJBgNV BAgTAmJqMQswCQYDVQQHEwJoZDELMAkGA1UEChMCc2QxCzAJBgNVBAsTAnd5MRIwA1UEChMGZ3VvbWFvMRMwEQYDVQQLEwphb3R1ZGlhbnppMREwDwYDVQQDEwhmaXJl 保存，userCertificate;binary::表示以二进制形式上传证书。后面的是用openssl生成的 cakey.pem这个证书的内容。这个证书的格式非常严格，一定要按照上面的格式书写，不然 上传的证书的内容会有变化。 ldapadd -x -D cn=admin,dc=pip,dc=com -W -f ca.ldif ldapsearch -x -b dc=pip,dc=com (查看) 六 把CA证书倒入到a防火墙CA服务器中 1如图