本文档详细介绍了如何在CentOS7环境下进行OpenLDAP部署的前期准备,包括在CA服务器上配置CA证书,生成服务端key和CSR,以及CA服务器为OpenLDAP签发证书的过程。步骤涵盖了从创建目录、生成私钥到传输和安装证书的整个流程,确保OpenLDAP服务器安全配置。
OpenLDAP部署前期准备
| 角色 | 主机名 | 操作系统 | IP地址 | 备注 |
|---|---|---|---|---|
| CA-server | CA-server | CentOS7 | 192.168.3.254 | 作为签发ca使用,可复用dap1 |
| ldap-1 | ldap1 | CentOS7 | 192.168.3.11 | VIP 192.168.3.10 |
| ldap-2 | ldap2 | CentOS7 | 192.168.3.12 | VIP 192.168.3.10 |
1. 在CA服务器上配置CA的key和CA证书
1-1. 检查openssl是否安装及版本
rpm -qa openssl
显示如下内容,说明正常
openssl-1.0.1e-57.el6.x86_64
1-2. 签发CA前的准备工作
cd /etc/pki/CA/
touch index.txt
echo 01 > serial
1-3. 备份openssl配置文件,可以使用默认,也可以更改配置文件
cp -a /etc/pki/tls/openssl.cnf{,$(date +%F)}
sed -i "50s/cacert.pem/CA.crt/" /etc/pki/tls/openssl.cnf
sed -i "55s/cakey.pem/CA.key/" /etc/pki/tls/openssl.cnf
1-4. CA服务器生成自己的CA.key–私钥
umask 077 ; openssl genrsa -out private/CA.key
1-5. 根据刚生成的CA.key 这个私钥,生成CA证书
openssl req -new -x509 -days 3650 -key private/CA.key -subj "/C=CN/ST=LiaoNing/L=ShenYang/O=boybo/OU=devops/CN=ca.boybo.cn/emailAddress=develop.boybo.cn"> CA.crt
注意:
- Common Name 不能与后续ldap-server的Common Name 相同
- 不添加-days参数,命令会根据openssl的配置文件中默认配置。证书默认有效期为365天,即一年
2. 在OpenLDAP服务端生成CSR
2-1. 生成服务端key
在OpenLDAP服务端(ldap1或者ldap2)上,利用生成自己的服务私钥以及生成服务端的CSR (证书请求文件)
mkdir /root/SSL
cd /root/SSL
openssl genrsa -out ldap.key
2-2. 生成服务端的CSR文件
openssl req -new -days 3650 -key ldap.key -subj "/C=CN/ST=LiaoNing/L=ShenYang/O=boybo/OU=devops/CN=ldap.boybo.cn/emailAddress=develop.boybo.cn" -out ldap.csr
3. CA服务器给OpenLDAP服务器签发证书
依据刚刚在ldap-server生成的ldapsrv.csr,CA和ldap-server是不同服务器,因此需要将ldapsrv.csr传给CA服务器
3-1. 根据ldap-server提交的ldapsrv.csr生成crt证书
cp -a /etc/pki/tls/CA.crt /etc/pki/CA/
cp -a /etc/pki/tls/private/CA.key /etc/pki/CA/private/
openssl ca -days 3650 -in ldap.csr -out ldap.crt
3-2. ldap-server 下载并安装证书
上传至ldap-server服务器,可以使用sftp等方式上传至服务器)
cd /root/SSL
cp ldap.crt /etc/openldap/certs/
cp ldap.key /etc/openldap/certs/
cp /etc/pki/CA/CA.crt /etc/openldap/certs/
cp /etc/pki/CA/private/CA.key /etc/openldap/certs/
扫一扫
386
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
