Aggiornare il DB dei certificati delle CA nel 389-ds

Negli ultimi mesi sono cambiati i certificati delle Certification Authorities che utilizziamo per ottenere i certificati X.509

Per essere sicuri che le autenticazioni fatte con certificato funzionino, è necessario aggiornare il DB delle Certification Authorities del 389-DS.

NOTA la procedura descritta qui di seguito suppone che siano installati nss-tools, authconfig ed openssl

• Scaricare il file cacerts TAR file

curl https://wiki.infn.it/_media/cn/ccr/aai/howto/ca-certs.tar > /tmp/cacerts.tar  

• Mettere il contenuto nella directory /etc/pki/CA/certs, dopo averla vuotata dei file presenti

pushd /etc/pki/CA/certs/
rm -f /etc/pki/CA/certs/*
tar -xvf /tmp/cacerts.tar
popd

• Verificare l'elenco dei certificati delle CA gia' presenti nel DB:

dsconf slapd-$DSUID security ca-certificate list

• Rimuovere eventuali certificati scaduti:

dsconf slapd-$DSUID security ca-certificate del "Certificate Name da eliminare"

• Inserire i certificati nel DB dei certificati del 389-DS

pushd /etc/dirsrv/slapd-$DSUID
for f in /etc/pki/CA/certs/*.pem ; do name=`openssl x509 -in $f -noout -subject -nameopt multiline | grep commonName | sed 's/.* = //'`; dsconf $DSUID security ca-certificate add --file $f --name "$name"; done
popd