User Tools

Site Tools


Sidebar

cn:ccr:aai:howto:389ds-certificates

Aggiornare il DB dei certificati delle CA nel 389-ds

Negli ultimi mesi sono cambiati i certificati delle Certification Authorities che utilizziamo per ottenere i certificati X.509

Per essere sicuri che le autenticazioni fatte con certificato funzionino, è necessario aggiornare il DB delle Certification Authorities del 389-DS.

NOTA la procedura descritta qui di seguito suppone che siano installati nss-tools, authconfig ed openssl

curl https://wiki.infn.it/_media/cn/ccr/aai/howto/cacerts.tar > /tmp/cacerts.tar  
  • Mettere il contenuto nella directory /etc/pki/CA/certs e creare i link simbolici agli hash dei certificati
pushd /etc/pki/CA/certs
tar -xvf /tmp/cacerts.tar
popd
cacertdir_rehash /etc/pki/CA/certs/
  • Fermare il server 389-DS e verificare lo stato del servizio
 systemctl stop dirsrv.target ; systemctl status dirsrv@$DSUID.service
    
 oppure
 
 /etc/init.d/dirsrv stop
  • Inserire i certificati nel DB dei certificati del 389-DS
pushd /etc/dirsrv/slapd-$DSUID
for f in /etc/pki/CA/certs/*.0 ; do echo certutil -d. -A -t 'CT,,' -i $f -n \"`openssl x509 -in $f -noout -subject -nameopt multiline | grep commonName | sed 's/.* = //'`\" ; done | sh
popd
  • Far ripartire il server 389-DS e verificare lo stato del servizio
 systemctl start dirsrv.target ; systemctl status dirsrv@$DSUID.service
 
 oppure
 
 /etc/init.d/dirsrv restart
cn/ccr/aai/howto/389ds-certificates.txt · Last modified: 2018/02/23 15:52 by anzel@infn.it