====== Aggiornare il DB dei certificati delle CA nel 389-ds ======

Negli ultimi mesi sono cambiati i certificati delle Certification Authorities che utilizziamo per ottenere i certificati X.509

Per essere sicuri che le autenticazioni fatte con certificato funzionino, è necessario aggiornare il DB delle Certification Authorities del 389-DS.

**NOTA** la procedura descritta qui di seguito suppone che siano installati nss-tools, authconfig ed openssl

  * Scaricare il file {{:cn:ccr:aai:howto:ca-certs.tar|cacerts TAR file}}

<code>
curl https://wiki.infn.it/_media/cn/ccr/aai/howto/ca-certs.tar > /tmp/cacerts.tar  
</code>

  * Mettere il contenuto nella directory /etc/pki/CA/certs, dopo averla vuotata dei file presenti
<code>
pushd /etc/pki/CA/certs/
rm -f /etc/pki/CA/certs/*
tar -xvf /tmp/cacerts.tar
popd
</code>


  * Verificare l'elenco dei certificati delle CA gia' presenti nel DB:
<code>
dsconf slapd-$DSUID security ca-certificate list
</code>


  * Rimuovere eventuali certificati scaduti:
<code>
dsconf slapd-$DSUID security ca-certificate del "Certificate Name da eliminare"
</code>


  * Inserire i certificati nel DB dei certificati del 389-DS

<code>
pushd /etc/dirsrv/slapd-$DSUID
for f in /etc/pki/CA/certs/*.pem ; do name=`openssl x509 -in $f -noout -subject -nameopt multiline | grep commonName | sed 's/.* = //'`; dsconf $DSUID security ca-certificate add --file $f --name "$name"; done
popd
</code>