Výměna LDAPS certifikátu

Adresářový server poskytuje své rozhraní do sítě na portu 636/tcp. Tento port je cháněn pomocí TLS šifrování a má konfigurován vlastní certifikát.

Výměna LDAPS certifikátu

  1. Požadavky na certifikát a klíč.

  2. Výměna certifikátu a klíče.

  3. Restart služby iam-directory-server.

  4. Kontrola.

Požadavky na certifikát a klíč

Požadavky na certifikát a privátní klíč jsou stejné jako pro certifikát webové proxy. Doporučujeme i pro LDAPS použít stejný certifikát jako má přímo webová proxy.

Pro potřeby LDAPS konfigurace uložte privátní klíč do souboru ldap.key, dále oddělte certifikát serveru do souboru ldap.crt a zbytek certificate chainu uložte do souboru chain.pem. Tyto soubory si předem připravte a uložte je na disk appliance.

Výměna certifikátu a klíče

Nyní přikročte k výměně souborů. Pro účel příkladu předpokládáme, že nové soubory jsme nahráli do adresáře /root/ldap-certifikaty.

  1. Přejděte do adresáře /data/volumes/directory-server/secrets-certs/ a zazálohujte původní soubory s certifikátem a klíčem.

    [root@localhost ~]# cd /data/volumes/directory-server/secrets-certs/
[root@localhost secrets-certs]# cp chain.pem chain.pem.orig
[root@localhost secrets-certs]# cp ldap.crt ldap.crt.orig
[root@localhost secrets-certs]# cp ldap.key ldap.key.orig

  2. Do adresáře nakopírujte nový certifikát, klíč a chain.

    [root@localhost secrets-certs]# cp /root/ldap-certifikaty/ldap.key ./
cp: overwrite './ldap.key'? y
[root@localhost secrets-certs]# cp /root/ldap-certifikaty/ldap.crt ./
cp: overwrite './ldap.crt'? y
[root@localhost secrets-certs]# cp /root/ldap-certifikaty/chain.pem ./
cp: overwrite './chain.pem'? y

Restart služby iam-directory-server

Službu restartujte standardním způsobem.

[root@localhost ~]# systemctl restart iam-directory-server

Kontrola

Přístupem na port 636/tcp appliance ověřte, zda se LDAP server prezentuje novým certifikátem. Pro otestování lze použít například utilitu openssl nebo grafického klienta jako je Apache Directory Studio.