SSL Verschlüsselung unter LDAP mit CACert

Veröffentlicht am von

Ich habe ein LDAP vorgefunden, wo ich das Passwort zu cn=admin,cn=config nicht mehr wusste, bzw. es nicht dokumentiert war. Also brauchte ich zunächst mal Zugang zum LDAP.

(Neus) Passwort für LDAP Admin setzten

slappasswd
New password:
Re-enter new password:
{SSHA}CRw/QZExj/kcVWp1To65z0dhIXY+vN9G

Hier am Beispiel des Passworts “test”.


Danach  /etc/ldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif bearbeiten und folgende Einträge ändern oder erstellen.

olcRootDN: cn=admin,cn=config

olcRootPW: {SSHA}CRw/QZExj/kcVWp1To65z0dhIXY+vN9G

Nun die neue config laden mit

service slapd restart

Zum Testen kann man sich mit ldapvi die cn=config Datenbank anschauen

 ldapvi -b cn=config -D cn=admin,cn=config

 

Das SSL Zertifikat

Das “Zertifikat” Teilt sich in 3 Bereiche auf, die oft auch als einzelne Dateien abgelegt werden können.

  1. PRIVATE KEY
  2. CERTIFICATE REQUEST
  3. CERTIFICATE

PRIVATE KEY und CERTIFICATE REQUEST kann man so erzeugen.

openssl req -new -nodes -keyout servername.key -out servername.csr -newkey rsa:2048

Danach meldet man sich bei CACert an und registriert eine neue Domain, die per Mail bestätigt werden muss. Nach erfolgreicher Authentifizierung darf man für die Domain Zertifikate ausstellen.

Dazu kopieren wir den Inhalt des CERTIFICATE REQUEST in das Feld beim Antrag auf ein Server Zertifikat.

Daraufhin erhalten wir ein (signiertes) CERTIFICATE, welches wir jetzt verwenden können. Ich habe es in bereits existierende Datei mit dem PRIVATE KEY geschrieben. Anhand der Markierungen —–BEGIN RSA PRIVATE KEY—– und —–BEGIN CERTIFICATE—– erkennt LDAP automatisch was was ist.

Den CERTIFICATE REQUEST brauchen wir jetzt nicht mehr.

Die Hochzeit: LDAP + SSL

Nehmen wir an, die Dateien liegen unter /etc/ldap/ssl/ .Jetzt müssen diese noch in der config des LDAPs eingetragen werden.

ldapvi -b cn=config -D cn=admin,cn=config

Unter “0 cn=config” erstellt man 3 neue Einträge mit dem jeweiligen Pfad auf die Datei.

olcTLSCACertificateFile: /etc/ldap/ssl/servername.key
olcTLSCertificateFile: /etc/ldap/ssl/servername.key
olcTLSCertificateKeyFile: /etc/ldap/ssl/servername.key

Danach noch mal den LDAP neu starten und der Server sollte sich per SSL mit dem CACert erstellten Zertifikat melden.

service slapd restart

 

 

flattr this!

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>