This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
cn:ccr:aai:howto:389ds-ldap-certificates [2022/04/20 06:22] monducci@infn.it |
cn:ccr:aai:howto:389ds-ldap-certificates [2022/04/20 09:32] (current) monducci@infn.it [Verifica Certificati Master] |
||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== Aggiornare il certificato del 389-ds ====== | ||
+ | |||
+ | |||
+ | \\ | ||
+ | ==== 1. Verifica certificati CA ==== | ||
+ | |||
+ | E' necessario che nel DB dei certificati siano presenti **TUTTI** i certificati delle CA dalle quali ci serviamo. | ||
+ | |||
+ | Verificare quindi che nel "NSS Certificate DB" ci sia il certificato della CA che ha emesso il nuovo certificato del 389-ds (compresi eventuali altri certificati della catena delle CA) | ||
+ | |||
+ | certutil -d / | ||
+ | |||
+ | Se necessario, procedere all' | ||
+ | |||
+ | |||
+ | \\ | ||
+ | ==== 2. Preparazione certificato in formato pkcs12 ==== | ||
+ | |||
+ | Convertire il certificato con chiave privata del server in formato pkcs12 in un file temporaneo. **Non impostare una password**. | ||
+ | |||
+ | openssl pkcs12 -export -inkey ds_server_key.pem -in ds_server_crt.pem -out / | ||
+ | |||
+ | |||
+ | \\ | ||
+ | ==== 3. Rimozione del vecchio certificato ==== | ||
+ | |||
+ | Prima di procedere alla rimozione del certificato aprire la console e lasciarla aperta fino al termine delle operazioni: in caso di problemi sarà più semplice intervenire. | ||
+ | |||
+ | 389-console -x nologo -a http:// | ||
+ | |||
+ | Eliminare il vecchio certificato | ||
+ | |||
+ | | ||
+ | |||
+ | |||
+ | \\ | ||
+ | ==== 4. Import del nuovo certificato ==== | ||
+ | |||
+ | Importare il certificato con chiave privata del server nel DB di 389-ds. | ||
+ | Verrà richiesto di inserire la password per l' | ||
+ | La prima password che viene chiesta è quella del DB di 389-ds, la seconda è invece quella eventualmente impostata nell’export (premere semplicemente invio, se non è stata impostata la password per il p12). | ||
+ | |||
+ | cd / | ||
+ | pk12util -i / | ||
+ | |||
+ | Controllare ora dalla console che sia presente il nuovo certificato. | ||
+ | Chiudere la console. | ||
+ | |||
+ | Rimuovere il file utilizzato per l' | ||
+ | |||
+ | rm / | ||
+ | | ||
+ | \\ | ||
+ | ==== 5. Restart del DS ==== | ||
+ | |||
+ | Far ripartire il server 389-DS e verificare lo stato del servizio | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | |||
+ | / | ||
+ | |||
+ | ===== Verifica Certificati Master ===== | ||
+ | |||
+ | ldapsearch | ||
+ | |||
+ | dn: cn=dsm1.infn.it, | ||
+ | infnCertSubjectDN: | ||
+ | infnCertSubjectDN: | ||
+ | | ||
+ | dn: cn=dsm2.infn.it, | ||
+ | infnCertSubjectDN: | ||
+ | infnCertSubjectDN: | ||
+ | | ||
+ | dn: cn=dsm3.infn.it, | ||
+ | infnCertSubjectDN: | ||
+ | infnCertSubjectDN: | ||
+ | |||
+ | Oppure tramite socket (valido solo dalla RockyLinux 8) | ||
+ | ldapsearch -Q -LLL -o ldif-wrap=no | ||
+ | Esempio | ||
+ | ldapsearch -Q -LLL -o ldif-wrap=no | ||
+ | | ||
+ | dn: cn=dsm1.infn.it, | ||
+ | infnCertSubjectDN: | ||
+ | infnCertSubjectDN: | ||
+ | | ||
+ | dn: cn=dsm2.infn.it, | ||
+ | infnCertSubjectDN: | ||
+ | infnCertSubjectDN: | ||
+ | |||
+ | dn: cn=dsm3.infn.it, | ||
+ | infnCertSubjectDN: | ||
+ | infnCertSubjectDN: | ||
+ | |||
+ | L' | ||
+ | |||
+ | **OU=SSNN, | ||