Vous regardez une version antérieure (v. /display/INFRA/LDAPSI+%3A+MAJ+du+certificat) de cette page.

afficher les différences afficher l'historique de la page

« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 4) afficher la version suivante »

Procédure pour mettre à jour le certificat SSL du LDAP SI sur HYGIE

 

ATTENTION

EN COURS DE REDACTION

 

Etape 1 : Connexion et chemin

Se connecter en root sur hygie.gorgu.net

Se rendre dans le répertoire /mnt/ldapsi-master/config



Etape 2 : Génération du certificat de l'autorité

Génération de la nouvelle clée privée pour le nouveau certificat de l'autorité de certification (autosigné).

Options : gen privkey of 4096 bits in SHA-2
openssl genrsa 4096 -sah256 > ca2016.pem

 

Ensuite, à partir de cette clé privée, nous allons générer un certificat d'autorité de certification qui nous permettra de signer les certificats serveurs créés.

Options : cert in x509 format for 100 years
openssl req -new -x509 -days 36500 -key ca2016.pem > cacert2016.pem

 

Remplir le formulaire selon les champs suivants :

Form
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:GADZ
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:cacert
Email Address []:

 


Etape 3 : Certificat serveur : Génération clé privée, requête de demande, puis certificat

Générer la nouvelle clé privée :

New private key
openssl genrsa 4096 -sha256 > ldap.gadz.org_slapd_key2016.pem

 

Générer la demande CSR :

CSR request
openssl req -new -key ldap.gadz.org_slapd_key2016.pem > ldap.gadz.org_slapd_cert2016.csr

 

Remplir le fomulaire avec les champs demandés. Celui principal est le common name : il doit se nommer comme la config de l'instance : ldap.gadz.org

Form request
Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Paris
Locality Name (eg, city) []:Paris
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Arts et Metiers Allumni
Organizational Unit Name (eg, section) []:Gadz.org
Common Name (e.g. server FQDN or YOUR name) []:ldap.gadz.org
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

 

Générer le certificat selon la demande CSR et la clé privée :

Generate certificat with ca
openssl x509 -req -days 3650 -in ldap.gadz.org_slapd_cert2016.csr -out ldap.gadz.org_slapd_cert2016.pem -CA cacert2016.pem -CAkey ca2016.pem -CAcreateserial -CAserial ca2016.srl

 

 

Etape 4 : Archiver et remplacer les anciennes clés

Déplacer et remplacer les anciennes clés :

mv ldap.gadz.ord_slapd_key.pem certificats_old/
mv ldap.gadz.ord_slapd_cert.pem certificats_old/
mv cacert.pem certificat_old/
mv ldap.gadz.org_slapd_key2016.pem ldap.gadz.org_slapd_key.pem 
mv ldap.gadz.org_slapd_cert2016.pem ldap.gadz.org_slapd_cert.pem
mv cacert2016.pem cacert.pem
cp cacert.pem /etc/ldap/
 
mv ldap.gadz.org_slapd_cert2016.csr certificats_2016/
cp ldap.gadz.org_slapd* certificats_2016/
mv ca2016* certificats_2016/
 

 

 

Etape 5 :

il faudra changer le fichier ci-dessous sur chaque serveur :
[ root@Hestia ] (17:29:52:!530) /etc/ldap
# openssl x509 -enddate -noout -in cacert.pem
notAfter=Sep 8 20:24:48 2016 GMT


Etape 6 :

Relancer le service LDAP :

service slapd restart

  • Aucune étiquette