B. Certificados do OpenSSL para LDAP

Se você estiver hospedando dois ou mais servidores LDAP, provavelmente não desejará usar certificados autoassinados, já que cada cliente precisará ser configurado para trabalhar com cada certificado. Embora isso seja possível, não é tão simples quanto criar sua própria autoridade de certificação e assinar os certificados de seus servidores com isso.

Os passos aqui são apresentados como eles são, com muito pouca tentativa de explicar o que está acontecendo - mais explicações podem ser encontradas em openssl(1) e aplicações iguais.

Para criar uma autoridade de certificação, simplesmente precisamos de um certificado e chave autoassinados. As etapas para isso novamente são

Exemplo B.1. Criando um Certificado
% openssl genrsa -out root.key 1024
% openssl req -new -key root.key -out root.csr
% openssl x509 -req -days 1024 -in root.csr -signkey root.key -out root.crt

Estas serão sua chave e certificado de CA raiz. Você provavelmente desejará criptografar a chave e armazená-la em um local seguro; qualquer pessoa com acesso a ele pode se passar por um dos seus servidores LDAP.

Em seguida, usando as duas primeiras etapas acima, crie uma chave ldap-server-one.key e a solicitação de assinatura de certificado ldap-server-one.csr. Depois de assinar o pedido de assinatura com root.key, você poderá usar o ldap-server-one.* nos servidores LDAP.

Nota:

Não se esqueça de usar o nome de domínio totalmente qualificado para o atributo common name ao gerar a solicitação de assinatura de certificado; caso contrário, os clientes rejeitarão uma conexão com você e poderá ser muito complicado diagnosticar.

Para assinar a chave, use -CA e -CAkey em vez de -signkey:

Exemplo B.2. Assinando como uma autoridade de certificação
%   openssl x509 -req -dias 1024 \
-em servidor ldap-one.csr -CA root.crt -CAkey root.key \
-out ldap-server-one.crt 

O arquivo resultante será o certificado que você pode usar em seus servidores LDAP.

Finalmente, para os clientes confiarem em todos os seus servidores, distribua root.crt (o certificado , não a chave!) Para cada cliente, e especifique-o na directiva TLSCACertificateFile no ldap.conf.

All FreeBSD documents are available for download at https://download.freebsd.org/ftp/doc/

Questions that are not answered by the documentation may be sent to <freebsd-questions@FreeBSD.org>.
Send questions about this document to <freebsd-doc@FreeBSD.org>.