Как возобновить самоподписанный сертификат CA openldap
На год назад мы устанавливаем openldap систему на основе следующего учебного руководства Ubuntu: https://help.ubuntu.com/lts/serverguide/openldap-server.html
Теперь сертификат CA истекает.
TLS не работает больше.
Какие-либо идеи, как возобновить сертификат?
1 ответ
Хорошо мы нашли решение сами. Для тех, кому интересно, это - то, что мы сделали:
, По-видимому, мы забыли устанавливать значение дат истечения срока, и оно приняло значение по умолчанию к 365 дням. Именно поэтому это истекло.
openldap сервер только использует пути сертификата CA cacert.pem, частный ключ сервера (hostname.slapd.pem) и сертификат сервера (подписанный с cacert.pem). Это означает, что мы не должны были изменять openldap конфигурацию.
Мы просто должны были воссоздать / заменяют сертификат CA. Поскольку удобство обосновывает, что мы сохранили частный ключ центра сертификации и частный ключ сервера.
-
Мы воссоздали сертификат CA с помощью существующего частного ключа CA и удостоверились, что значение дат истечения срока составляло больше чем один год. Мы использовали шаблонный файл прежде и просто добавили строку дат истечения срока.
-
Мы воссоздали сертификат сервера с помощью существующего закрытого ключа сервера и подписались с недавно созданным сертификатом CA от шага 1.
-
, Мы перезапустили наш slapd сервис
, Если Вы используете ведомое устройство репликации openldap сервер, не забывайте подписывать новый ведомый сертификат сервера с новым сертификатом CA и перезапускать slapd сервис. Репликация должна работать затем.
Все фиксируется теперь.