CentOS 6にルート証明書をインストールする

私はそれがすでに尋ねられたことを知っています、しかし何時間もの研究にもかかわらず私は実用的な解決策を見つけることができませんでした。ルート証明書をサーバーにインストールしようとしています。内部サービスがSSLを使用して相互にバインドできるようにしています。

新しいルートCAについて知っておくべきこと：

1. Apache httpdおよびPHP
2. OpenLDAPクライアント
3. Node.js

Apacheの場合、ルート証明書について知るにはPHPアプリケーションが必要です。そのため、サイトが別のSSL Webサイト（同じCAによって署名されている）に接続する場合、サイトは正常に機能し、自己署名証明書について不満はありません。

OpenLDAPの場合、それはPHPと同じだと思います。使用するモジュールはかなり古く、PEARとともにインストールされるNet_LDAP2です。ローカルのopenldap設定を編集してみましたが、システムで使用されていないようです。

最後のNode.js。これはパーソイドに使用します。node.jsサーバーは、適切なSSL接続を確立するためにCAを信頼する必要があります。

/etc/pki/tls/certs/ca-bundle.crtに証明書を追加しようとしましたが、ほとんど成功しませんでした。

httpdにはルートCAが表示されませんが、tomcatや389などの他のサービスを使用してなんとかすることができました。

ご支援いただきありがとうございます。

私のRHEL 6ボックスのman 8 update-ca-trustマニュアルページには、システム全体のCA証明書と関連する信頼をどのように管理できる/すべきかについてのかなり広範な説明があります。

上記のコメントが示すように、多くの場合、構成はアプリケーション固有ではありません。

SSLの初心者がアクセスしやすいように、いくつかのコマンドラインを記述しました。

PKIフォルダに移動します

$ cd /etc/pki/tls/certs/
 

VERIFY（ハード）リンクとバックアップ証明書

$ cp ca-bundle.crt /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem.bak
$ cp ca-bundle.trust.crt /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt.bak
 

CentOSにCAチェーンをアップロードする

$ scp <cachain> root@sydapp28:/tmp 
 

SSH（Putty？）またはローカル経由でCentOSに接続する

$ ssh -C root@sydapp28
 

IF PKCS12 CAChain：「内部CAチェーン証明書をPEM形式に変換してヘッダーを削除」：

$ cd /tmp ; openssl pkcs12 -nodes -in <cachain.pfx.p12> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cachain.pem
 

CentOSに内部CAを追加する

$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
$ cat /tmp/cachain.pem >> /etc/pki/ca-trust/extracted/pem/ca-bundle.trust.crt
$ reboot