Differences

This shows you the differences between two versions of the page.

--- cn:ccr:aai:howto:389ds-certificates [2017/05/04 06:43] – enrico@infn.it
+++ cn:ccr:aai:howto:389ds-certificates [2018/02/23 14:52] (current) – anzel@infn.it
@@ Line 1: / Line 1: @@
+====== Aggiornare il DB dei certificati delle CA nel 389-ds ======
+Negli ultimi mesi sono cambiati i certificati delle Certification Authorities che utilizziamo per ottenere i certificati X.509
+Per essere sicuri che le autenticazioni fatte con certificato funzionino, è necessario aggiornare il DB delle Certification Authorities del 389-DS.
+**NOTA** la procedura descritta qui di seguito suppone che siano installati nss-tools, authconfig ed openssl
+  * Scaricare il file {{:cn:ccr:aai:howto:cacerts.tar|cacerts TAR file}}
+<code>
+curl https://wiki.infn.it/_media/cn/ccr/aai/howto/cacerts.tar > /tmp/cacerts.tar
+</code>
+  * Mettere il contenuto nella directory /etc/pki/CA/certs e creare i link simbolici agli hash dei certificati
+<code>
+pushd /etc/pki/CA/certs
+tar -xvf /tmp/cacerts.tar
+popd
+cacertdir_rehash /etc/pki/CA/certs/
+</code>
+  * Fermare il server 389-DS e verificare lo stato del servizio
+   systemctl stop dirsrv.target ; systemctl status dirsrv@$DSUID.service
+   oppure
+   /etc/init.d/dirsrv stop
+  * Inserire i certificati nel DB dei certificati del 389-DS
+<code>
+pushd /etc/dirsrv/slapd-$DSUID
+for f in /etc/pki/CA/certs/*.0 ; do echo certutil -d. -A -t 'CT,,' -i $f -n \"`openssl x509 -in $f -noout -subject -nameopt multiline | grep commonName | sed 's/.* = //'`\" ; done | sh
+popd
+</code>
+  * Far ripartire il server 389-DS e verificare lo stato del servizio
+   systemctl start dirsrv.target ; systemctl status dirsrv@$DSUID.service
+   oppure
+   /etc/init.d/dirsrv restart