Как обновить самозаверяющий сертификат CA openldap

Question

Как обновить самозаверяющий сертификат CA openldap

Год назад мы установили систему openldap на основе следующего учебного руководства по Ubuntu: https://help.ubuntu.com/lts/serverguide/openldap-server.html

Срок действия сертификата CA истек.

TLS больше не работает.

Есть идеи как продлить сертификат?

1

openldap

Источник

Joeri Feyen 27 окт '16 в 09:00

1 ответ

Другие вопросы по тегам openldap

Joeri Feyen 27 окт '16 в 15:03 2016-10-27 15:03 · Answer 1 · 2016-10-27 15:03

Хорошо, мы нашли решение сами. Для тех, кто заинтересован, вот что мы сделали:

По-видимому, мы забыли установить значение срока действия, и по умолчанию оно равнялось 365 дням. Вот почему он истек.

Сервер openldap использует только пути сертификата CA cacert.pem, секретного ключа сервера (hostname.slapd.pem) и сертификата сервера (подписанного cacert.pem). Это означает, что нам не нужно было менять конфигурацию openldap.

Нам просто нужно было воссоздать / заменить сертификат CA. По соображениям удобства мы сохранили частный ключ центра сертификации и личный ключ сервера.

Мы воссоздали сертификат CA, используя существующий закрытый ключ CA, и удостоверились, что срок действия истек более одного года. Ранее мы использовали файл шаблона и просто добавили строку дней истечения.
Мы воссоздали сертификат сервера, используя существующий закрытый ключ сервера, и подписали его только что созданным сертификатом CA, начиная с шага 1.
Мы перезапустили наш сервис slapd

Если вы используете подчиненный сервер openldap репликации, не забудьте подписать новый сертификат подчиненного сервера новым сертификатом CA и перезапустить службу slapd. Репликация должна работать тогда.

Все исправлено сейчас.