ldap证书管理.doc

LDAP证书管理测试文档一LDAP服务器的安装 1首先在linux 9的光盘中安装以下的3个rpm的软件包。 openldap-clients-2.0.27-8.i386.rpm openldap-devel-2.0.27-8.i386.rpm openldap-servers-2.0.27-8.i386.rpm 2 安装成功后cd /etc/init.d中会发现有一个ldap的文件，表示安装成功。二Openssl服务器的安装。1 在网上找到openssl-0.9.8a.tar.gz 或者更高的版本 ./configuremakemake install 三修改LDAP服务器的配置文件 1 修改/etc/openldap/slapd.conf,加入以下 suffix dc=pip,dc=com （表示基准DN）rootdn cn=admin,dc=pip,dc=com （表示DN的管理员）rootpw 123456 （表示管理员密码）保存 2 修改/etc/openldap/ldap.conf,加入以下 HOST BASE dc=pip,dc=com 3 重启动ldap服务srvice ldap restart netstat nvl 如果发现有389端口这就说明现在ldap的服务已经可以正常的使用了 四通过openssl制作CA证书1 .CA证书1）生成ca密钥（生成私钥）openssl genrsa -out cakey.pem 1024 2）生成ca证书（通过生成私钥生成请求证书）openssl req -new -out cacert.csr -key cakey.pem 3）用ca密钥签名（通过私钥生成公钥）openssl x509 -req -in cacert.csr -out cacert.pem -signkey cakey.pem -days 3650 这样就生成了cakey.pem这个CA的证书。五制作ldif文件，往ldap数据库中添加用户，和CA证书1 首先需要建立一个根的ldif文件 Vi root.ldif dn: dc=pip,dc=comobjectClass: dcObjectobjectClass: organizationdc: pipo: The Example Corporation保存2 把这个文件加载到ldap数据库中ldapadd -x -D cn=admin,dc=pip,dc=com -W -f root.ldifldapsearch -x -b dc=pip,dc=com (查看)如果能发现有# pip, comdn: dc=pip,dc=comobjectClass: dcObjectobjectClass: organizationdc: pipo: The Example Corporation这就说明这个根已经上传成功。3 制作含有用户CA证书的ldif文件并上传到数据库中vi ca.ldifdn:cn=ca dc=pip,dc=comcn:casn:cauid:caou:legendsecuserPassword:ca123mail:objectClass:inetOrgPersonuserCertificate;binary: MIICdjCCAd8CAQUwDQYJKoZIhvcNAQEEBQAwejELMAkGA1UEBhMCemcxCzAJBgNVBAgTAmJqMQswCQYDVQQHEwJoZDELMAkGA1UEChMCc2QxCzAJBgNVBAsTAnd5MRIwA1UEChMGZ3VvbWFvMRMwEQYDVQQLEwphb3R1ZGlhbnppMREwDwYDVQQDEwhmaXJl保存，userCertificate;binary:表示以二进制形式上传证书。后面的是用openssl生成的cakey.pem这个证书的内容。这个证书的格式非常严格，一定要按照上面的格式书写，不然上传的证书的内容会有变化。ldapadd -x -D cn=admin,dc=pip,dc=com -W -f ca.ldifldapsearch -x -b dc=pip,dc=com (查看)六 把CA证书倒入到a防火墙CA服务器中1如图 图一也可以按照证书的所有者组织ou=legendsec 或者其他条件mail:进行查询。2 导入CA 图二七 在a防火墙生成本地证书的请求文件，并到CA中心进行签发，签发后生成本地证书。1在a防火墙的本地证书中点击密钥本地生成，完成生成本地请求文件fw1.req，并把这个req从a防火墙导出,把它通过FTP或者别的文件传输的形式，传到openssl这个linux的服务器上。2在服务器上运行openssl x509 -req -in fw1.req -out fw1.pem -CA cacert.pem -CAkey cakey.pem -CAcreateserial -days 3650 生成本地证书。名字为fw1.pem。3 制作含有a防火墙本地证书的用户ldif文件。vi fw1.ldifdn:cn=fw1,dc=pip,dc=comcn:fw1sn:fw1uid:fw1ou:legendsecuserPassword:fw1123mail:linux_objectClass:inetOrgPersonuserCertificate;binary: 9w0BAQEFAAOBjQAwgYkCgYEAqBrvwSvA+r69DAgb6YV/K7pbP9+aJsBQ9SlEE4wC oZrim5fPwHR12Kt9UlI/pPqO75uCbORMV182+u431yvRszlNP9FNK6vo0UrrjQvcQmR7tlP3rFHCPHbywkC58Z0b6M+uDSTq+XE0DadQ0qHvqODDo3djOtHFub1FQquo uQsCAwEAATANBgkqhkiG9w0BAQQFAAOBgQDeVmzaAbwWgbw9Zl6El+DisrpmYX48保存，userCertificate;binary:表示以二进制形式上传证书。后面的是用openssl签发的Fw1.pem这个证书的内容。这个证书的格式非常严格，一定要按照上面的格式书写，不然上传的证书的内容会有变化。ldapadd -x -D cn=admin,dc=pip,dc=com -W -f fw1.ldifldapsearch -x -b dc=pip,dc=com (查看)4 把这个证书下载到本地，然后上传到a防火墙中 图三上传到a防火墙本地证书中