INFN wiki

User Tools

Site Tools

Trace:
cn:ccr:aai:howto:389ds-ldap-certificates

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
cn:ccr:aai:howto:389ds-ldap-certificates [2024/12/17 16:17] – [Aggiornare il certificato del 389-ds] anzel@infn.itcn:ccr:aai:howto:389ds-ldap-certificates [2024/12/17 16:22] (current) – [Le istruzioni aggiornate sono disponibili al seguente link:] anzel@infn.it
Line 1: Line 1:
 +====== Aggiornare il certificato del 389-ds ======
 +
 +\\
 +
 +===== Le istruzioni aggiornate sono disponibili al seguente link: =====
 +
 +
 +[[cn:ccr:aai:howto:how_to:rockylinux8-certificati|https://wiki.infn.it/cn/ccr/aai/howto/how_to/rockylinux8-certificati]]
 +
 +\\
 +
 +Qui di seguito sono disponibili solo istruzioni relative a versioni precedenti di 389-DS.
 +
 +
 +----
 +
 +==== 1. Verifica certificati CA ====
 +
 +E' necessario che nel DB dei certificati siano presenti **TUTTI** i certificati delle CA dalle quali ci serviamo.
 +
 +Verificare quindi che nel "NSS Certificate DB" ci sia il certificato della CA che ha emesso il nuovo certificato del 389-ds (compresi eventuali altri certificati della catena delle CA)
 +
 +  certutil -d /etc/dirsrv/slapd-$DSUID -L
 +
 +Se necessario, procedere all'aggiornamento del DB. Le istruzioni sono in [[cn:ccr:aai:howto:389ds-certificates|]]
 +
 +
 +\\
 +==== 2. Preparazione certificato in formato pkcs12 ====
 +
 +Convertire il certificato con chiave privata del server in formato pkcs12 in un file temporaneo. **Non impostare una password**.
 +
 +  openssl pkcs12 -export -inkey ds_server_key.pem -in ds_server_crt.pem -out /tmp/crt.p12 -nodes -name 'server-cert'
 +
 +
 +\\
 +==== 3. Rimozione del vecchio certificato ====
 +
 +Prima di procedere alla rimozione del certificato aprire la console e lasciarla aperta fino al termine delle operazioni: in caso di problemi sarà più semplice intervenire.
 +
 +  389-console -x nologo -a http://localhost:9830/ -u "cn=Directory Manager" -y /root/.ssh/dmpw &
 +
 +Eliminare il vecchio certificato
 +
 +   certutil -D -d /etc/dirsrv/slapd-$DSUID -n 'server-cert'
 +
 +
 +\\
 +==== 4. Import del nuovo certificato ====
 +
 +Importare il certificato con chiave privata del server nel DB di 389-ds. 
 +Verrà richiesto di inserire la password per l'accesso al "NSS Certificate DB" (/etc/dirsrv/slapd-$DSUID/pin.txt).
 +La prima password che viene chiesta è quella del DB di 389-ds, la seconda è invece quella eventualmente impostata nell’export (premere semplicemente invio, se non è stata impostata la password per il p12).
 +
 +  cd /etc/dirsrv/slapd-$DSUID
 +  pk12util -i /tmp/crt.p12 -d .
 +
 +Controllare ora dalla console che sia presente il nuovo certificato.
 +Chiudere la console.
 +
 +Rimuovere il file utilizzato per l'import
 +
 +  rm /tmp/crt.p12
 +  
 +\\
 +==== 5. Restart del DS ====
 +
 +Far ripartire il server 389-DS e verificare lo stato del servizio
 +
 +   systemctl restart dirsrv.target ; systemctl status dirsrv@$DSUID.service
 +   
 +   oppure
 +   
 +   /etc/init.d/dirsrv restart
 +
 +===== Verifica Certificati Master =====
 +
 +  ldapsearch  -LLL -o ldif-wrap=no  -x -D "cn=Directory Manager" -w `cat ~/.ssh/dmpw` -b 'cn=config' cn=dsm* infnCertSubjectDN
 +
 +  dn: cn=dsm1.infn.it,cn=config
 +  infnCertSubjectDN: CN=dsm1.infn.it,OU=INFN-AAI,O=Istituto Nazionale di Fisica Nucleare,L=Frascati,C=IT
 +  infnCertSubjectDN: CN=dsm1.infn.it,OU=SSNN,O=Istituto Nazionale di Fisica Nucleare,ST=Roma,C=IT
 +  
 +  dn: cn=dsm2.infn.it,cn=config
 +  infnCertSubjectDN: CN=dsm2.infn.it,OU=INFN-AAI,O=Istituto Nazionale di Fisica Nucleare,L=Frascati,C=IT
 +  infnCertSubjectDN: CN=dsm2.infn.it,OU=SSNN,O=Istituto Nazionale di Fisica Nucleare,ST=Roma,C=IT
 +  
 +  dn: cn=dsm3.infn.it,cn=config
 +  infnCertSubjectDN: CN=dsm3.infn.it,OU=INFN-AAI,O=Istituto Nazionale di Fisica Nucleare,L=Frascati,C=IT
 +  infnCertSubjectDN: CN=dsm3.infn.it,OU=SSNN,O=Istituto Nazionale di Fisica Nucleare,ST=Roma,C=IT 
 +
 +Oppure tramite socket (valido solo dalla RockyLinux 8)
 +  ldapsearch -Q -LLL -o ldif-wrap=no  -Y EXTERNAL -H ldapi://%2fvar%2frun%2f"slapd-server.socket" -b 'cn=config' cn=dsm* infnCertSubjectDN
 +Esempio  
 +  ldapsearch -Q -LLL -o ldif-wrap=no  -Y EXTERNAL -H ldapi://%2fvar%2frun%2fslapd-ds1.socket -b 'cn=config' cn=dsm* infnCertSubjectDN
 +  
 +  dn: cn=dsm1.infn.it,cn=config
 +  infnCertSubjectDN: CN=dsm1.infn.it,OU=INFN-AAI,O=Istituto Nazionale di Fisica Nucleare,L=Frascati,C=IT
 +  infnCertSubjectDN: CN=dsm1.infn.it,OU=SSNN,O=Istituto Nazionale di Fisica Nucleare,ST=Roma,C=IT
 +  
 +  dn: cn=dsm2.infn.it,cn=config
 +  infnCertSubjectDN: CN=dsm2.infn.it,OU=INFN-AAI,O=Istituto Nazionale di Fisica Nucleare,L=Frascati,C=IT
 +  infnCertSubjectDN: CN=dsm2.infn.it,OU=SSNN,O=Istituto Nazionale di Fisica Nucleare,ST=Roma,C=IT
 +
 +  dn: cn=dsm3.infn.it,cn=config
 +  infnCertSubjectDN: CN=dsm3.infn.it,OU=INFN-AAI,O=Istituto Nazionale di Fisica Nucleare,L=Frascati,C=IT
 +  infnCertSubjectDN: CN=dsm3.infn.it,OU=SSNN,O=Istituto Nazionale di Fisica Nucleare,ST=Roma,C=IT
 +
 +L'ultimo certificato rilasciato (Aprile 2022) ha questi valori: 
 +
 +**OU=SSNN,O=Istituto Nazionale di Fisica Nucleare,ST=Roma,C=IT** 
  
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki