ECS: Varmenteiden määrittäminen ja hyväksyminen LDAPS:n kautta ECS:ssä

LDAPS, joka tunnetaan myös nimillä LDAP (Lightweight Directory Access Protocol) over Secure Socket Layer (SSL) tai Transport Layer Security (TLS), on Active Directoryn (AD) tai LDAP-palvelimen LDAP-käytön salattu liikennemuoto.

LDAPS on riippuvainen toimivasta LDAP-yhteydestä. Tutustu ECS Administration Guideen ja tähän ECS-tietokanta-artikkeliin: AD- tai LDAP-palvelinyhteyden määrittäminen käyttöliittymässä

SSL- tai TLS-tiedonsiirrossa kriittinen komponentti ovat varmenteet. Varmista, että käytetyt varmenteet eivät ole vanhentuneita ja virheellisiä. Tämä on tärkeää, jotta kaikki koko varmenneketjun varmenteet ovat oikein.
Tarkista asia verkkotiimiltäsi.

Lataa LDAPS-varmenneketju ja ota LDAPS käyttöön seuraavien ohjeiden mukaisesti.
1. Solmun hallinnan IP-osoite on välttämätön LDAPS-varmenneketjun lataamiseksi.
2. Käyttöliittymän root-käyttäjän on ladattava LDAPS-varmenneketju solmunhallinnan komentoriviliittymäliittymään.
3A. LDAPS-varmenneketju XML-tietosisällössä solmun hallinnan IP-osoitteeseen
3B. LDAPS ottaa käyttöön parametriasetuksen XML-tietosisällössä solmun hallinnan IP-osoitteeseen
4. Käytä ECS-todennuksen palveluntarjoajan sivulla LDAPS:ää, jossa on IP-osoitteen sijaan täydellinen toimialuenimi (FQDN).
5. Testaa toimialueen käyttäjän sisäänkirjautuminen.

Vaiheessa 3
tarvitaan täydellinen toimialuenimi IP-osoitteen sijaan, kuten:
"SSL-varmenteita käytettäessä varmenteessa on oltava Subject Alternate Name (SAN), joka vastaa yhdistettävää yhteyttä, SAN:lle näytetään vain DNS-nimi, joka vastaa ECS:n määrityksiä."

Varmista sen vuoksi, että ECS-todennuksen tarjoajan sivun palvelimen URL-valintaikkunassa käytetään täydellistä toimialuenimeä IP-osoitteen sijaan.
Esimerkki: ldaps://ad-or-ldap-fqdn-domain.com

Edellä mainitut vaiheet:

1. Solmun hallinnan IP-osoite on välttämätön LDAPS-varmenneketjun lataamiseksi.

Jos haluat tarkastella LDAPS-varmenneasetuksia koskevia ECS-asetuksia, hanki ensin solmun hallinnan IP-osoite.
Jos käyttöliittymän hallinnassa on verkkoyhteys, getrackinfo -n näyttää mgmt-arvot. 

Käytä solmujen MGMT-IP-osoitetta. Replikointi ja tietoverkon erottaminen eivät liity seuraaviin vaiheisiin:       

admin@node1:~> getrackinfo -n
Named networks
==============
Node ID       Network          Ip Address        Netmask            Gateway            VLAN               Interface
1            repl              10.xxx.xxx.11     255.255.254.0      xxx.xxx.xxx.xxx    14                 public
1            mgmt              10.xxx.xxx.21     255.255.254.0      xxx.xxx.xxx.xxx    13                 public
1            data              10.xxx.xxx.31     255.255.254.0      xxx.xxx.xxx.xxx    15                 public
2            repl              10.xxx.xxx.12     255.255.254.0      xxx.xxx.xxx.xxx    14                 public
2            mgmt              10.xxx.xxx.22     255.255.254.0      xxx.xxx.xxx.xxx    13                 public
2            data              10.xxx.xxx.32     255.255.254.0      xxx.xxx.xxx.xxx    15                 public
3            repl              10.xxx.xxx.13     255.255.254.0      xxx.xxx.xxx.xxx    14                 public
3            mgmt              10.xxx.xxx.23     255.255.254.0      xxx.xxx.xxx.xxx    13                 public
3            data              10.xxx.xxx.33     255.255.254.0      xxx.xxx.xxx.xxx    15                 public
4            repl              10.xxx.xxx.14     255.255.254.0      xxx.xxx.xxx.xxx    14                 public
4            mgmt              10.xxx.xxx.24     255.255.254.0      xxx.xxx.xxx.xxx    13                 public
4            data              10.xxx.xxx.34     255.255.254.0      xxx.xxx.xxx.xxx    15                 public

Jos VDC:ssä ei ole verkon MGMT-erotusta, käytä solmun julkista IP-osoitetta. 
 

Seuraavassa esimerkissä MGMT:tä ei ole "getrackinfo -n"; Käytä siksi julkista IP-osoitetta kohdassa getrackinfo hallinnan IP-osoitteena seuraavia vaiheita varten.

admin@node1:~> getrackinfo -n 
Named networks 
============== 
Node ID       Network          Ip Address        Netmask            Gateway            VLAN               Interface admin@node1:~>


admin@node1:~> getrackinfo
Node private      Node              Public                                  BMC
Ip Address        Id       Status   Mac                 Ip Address          Mac                 Ip Address          Node Name
===============   ======   ======   =================   =================   =================   =================   =========
192.1XX.2XX.1     1        MA       a4:bf:xx:xx:xx:74   10.xx.xx.1          a4:bf:xx:xx:xx      192.1XX.2XX.101     provo-red
192.1XX.2XX.2     2        SA       a4:bf:xx:xx:xx:c8   10.xx.xx.2          a4:bf:xx:xx:xx      192.1XX.2XX.102     sandy-red
192.1XX.2XX.3     3        SA       a4:bf:xx:xx:xx:e0   10.xx.xx.3          a4:bf:xx:xx:xx      192.1XX.2XX.103     orem-red
192.1XX.2XX.4     4        SA       a4:bf:xx:xx:xx:56   10.xx.xx.4          a4:bf:xx:xx:xx      192.168.219.104     ogden-red

2. Käyttöliittymän root-käyttäjän on ladattava LDAPS-varmenneketju solmunhallinnan komentoriviliittymäliittymään.

Hae pääkäyttäjän tunnus hankitun hallinnan IP-osoitteen avulla. Pääkäyttäjän salasana vaaditaan (tai jos käyttäjällä on käyttöliittymän järjestelmänvalvojan oikeudet):

curl -s -k -v -u <user> https://<NodeManagementIP>:4443/login 2>&1

# curl -s -k -v -u root https://10.xxx.xxx.21:4443/login 2>&1
Enter host password for user 'root':
......

< HTTP/1.1 200 OK
< Date: Thu, 14 Jan 2021 13:51:24 GMT
< Content-Type: application/xml
< Content-Length: 93
< Connection: keep-alive
< X-SDS-AUTH-TOKEN: BAAcdWhGbnVRVjd1WlpmR0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAgAC0A8=
< X-SDS-AUTH-USERNAME: root
< X-SDS-AUTH-MAX-AGE: 28800
<
* Connection #0 to host 10.xxx.xxx.21 left intact
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>root</user></loggedIn>

Jos tulos ei ole HTTP/1.1 200 OK, tarkista salasana ja IP-osoite eli käyttöliittymän hallintaverkon erottaminen komennosta getrackinfo -n.

Luo pääkäyttäjän tunnuksella tunnusmuuttuja. 

# export TOKEN='X-SDS-AUTH-TOKEN: BAAcdWhGbnVRVjd1WlpmR0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAgAC0A8='
Voit testata tunnuksen arvon suorittamalla curl Kapasiteetin tarkistuskomento: 

# curl -k -X GET -H "$TOKEN" https://10.xxx.xxx.21:4443/object/capacity | xmllint --format -        
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                               Dload  Upload   Total   Spent    Left  Speed
100   176  100   176    0     0    249      0 --:--:-- --:--:-- --:--:--   250

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<cluster_capacity>
  <totalFree_gb>100657</totalFree_gb>
  <totalProvisioned_gb>447005</totalProvisioned_gb>
</cluster_capacity>

3A. LDAPS-varmenneketju XML-tietosisällössä solmun hallinnan IP-osoitteeseen

3B. LDAPS ottaa parametrimäärityksen käyttöön. Hyväksy LDAPS-parametri XML-tietosisällössä solmun hallinnan IP-osoitteeseen.

Edellä oleva käyttää pääkäyttäjän tunnusta ECS-käyttöliittymän luottamussäilöön, johon LDAPS-varmenne voidaan ladata.
Katso ECS:n järjestelmänvalvojan oppaasta lisätietoja oman LDAP-varmenteen lisäämisestä.

Hanki Truststore-asetukset curl GET komento:

curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore/settings | xmllint --format -

curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<truststore_settings>
  <accept_all_certificates>false</accept_all_certificates>
</truststore_settings>

Edellä olevassa esimerkissä truststore "accept_all_certificates" arvoksi on määritetty false. Tämä tarkoittaa, että LDAPS-varmenteisiin ei luoteta.

Sitä "accept_all_certificates" Termi saattaa olla moniselitteinen, mutta sitä käytetään edelleen ECS:ssä määritettäessä, käytetäänkö LDAPS-varmenteita.
Käyttäjä voi haluta, että arvoksi asetetaan tosi tai epätosi tarpeidensa mukaan. LDAPS-yhteyden testaamiseksi LDAPS-yhteyden voi vahvistaa arvon true ja käyttäjän kirjautumisen testaaminen.
 

Luo xml-tiedosto truststore-asetusten muuttamiseksi curl-komennolla, jossa on xml-tietosisältö:

# sudo vi truststoresettings.xml
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<truststore_settings_changes>
<accept_all_certificates>true</accept_all_certificates>
</truststore_settings_changes>


# cat truststoresettings.xml | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<truststore_settings_changes>
  <accept_all_certificates>true</accept_all_certificates>
</truststore_settings_changes>

Määritä accept_all_certificates-arvoksi epätosi muokkaamalla tietosisältötiedoston arvoksi epätosi true-arvon sijaan ja suorittamalla PUT-komento hyötykuormatiedoston avulla.

Suorita curl-komento, jonka hyötykuormana on xml-tiedosto, curl PUT -komennolla:

# curl -s -k -X PUT -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore/settings --data-binary @truststoresettings.xml

Voit tarkistaa, että "accept_all_certificates" on päivitetty, suorittamalla curl GET -komennon:

# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings  | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<truststore_settings_changes>
  <accept_all_certificates>true</accept_all_certificates>
</truststore_settings_changes>

Voit tarkastella truststore-asetusta pelkän truststore-asetuksen sijaan seuraavasti:

# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore | xmllint --format -

Esimerkki tyhjästä LDAP-varmenteen luottamussäilöstä:

# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<trusted_certificates/>

Useita varmenteita voidaan tarvita, koska ECS vaatii koko varmenneketjun, juurivarmenteen, CA-varmenteen, isäntävarmenteen ja niin edelleen.
Jos haluat lisätä varmenteen truststoreen, luo xml-tiedosto käyttäjän varmenteesta. Varmenne voi olla tiedostotyyppi .pem, .crt, .cer ja niin edelleen.

Jotta varmenteet voidaan ladata ECS:ään, niiden on oltava XML-muodossa, jotta ne toimivat XML-tietosisältönä.

Varmenteen muu kuin XML-muotoinen tiedosto:

# cat cert.crt
-----BEGIN CERTIFICATE-----
MIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
HhrV5ezjYHY=
-----END CERTIFICATE-----

Curl add -komennon xml-muoto:

# cat cert.xml | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<trusted_certificate_changes>
  <add>
    <certificate>-----BEGIN CERTIFICATE-----
MIIG2TCCBMGgAwIBAgITMQAAAATxxxxxxxxxxxxxxxxxxxxxxxxxhkiG9w0BAQsF
ADBbMRIwEAYKCZImiZPyLGQBGRYxxxxxxxxxxxxxxxxxxxxxxxxxFgR2aXRjMRMw
.......................
pkHgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxzxhlGh2TaTC
xqz4T/sO4ggWs0Yz5nBmCZMDn6nxxxxxxrjX+ahXI=
-----END CERTIFICATE-----</certificate>
  <certificate>-----BEGIN CERTIFICATE-----
MIIG2TCCBMGgAwIBAgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqhkiG9w0BAQsF
ADBbMRIwEAYKCZImiZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZFgR2aXRjMRMw
EQYKCZImiZPyLGQBGRxxxxxxxxxxxxxxxxxxxxxxxxxxRW50ZXJwcmlzZS1DQTAe
Fw0yMDA2MDgwNzQwxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxIiMA0GCSqGSIb3DQEB
..........................
8wYIKWr2AqSKKxcBHxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3ykeRMZJk7VpQDQDLN
feFI4rHZ4JOqDWttiHxxxxxxxxxxxxxxxxxxxxxxxxxxxhpXsxyjQIRvrtaCZVXz
GR7Na7Ah1o+9MWenMExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGQlsQ47nZE2YgV
-----END CERTIFICATE-----</certificate>
  </add>
</trusted_certificate_changes>

Lataa cert-tietosisällön XML-muoto: 

curl -i -s -k -X PUT -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore --data-binary @cert.xml

Voit tarkistaa, että varmenne on ladattu, suorittamalla GET-komennon. ECS:n luottamussäilön loppumerkki on " ."

# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<trusted_certificates>
  <certificate>-----BEGIN CERTIFICATE-----
MIIG2TCCBMGgAwIBAgITMQAAAATxxxxxxxxxxxxxxxxxxxxxxxxxhkiG9w0BAQsF
ADBbMRIwEAYKCZImiZPyLGQBGRYxxxxxxxxxxxxxxxxxxxxxxxxxFgR2aXRjMRMw
.......................
pkHgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxzxhlGh2TaTC
xqz4T/sO4ggWs0Yz5nBmCZMDn6nxxxxxxrjX+ahXI=
-----END CERTIFICATE-----</certificate>
  <certificate>-----BEGIN CERTIFICATE-----
MIIG2TCCBMGgAwIBAgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqhkiG9w0BAQsF
ADBbMRIwEAYKCZImiZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZFgR2aXRjMRMw
EQYKCZImiZPyLGQBGRxxxxxxxxxxxxxxxxxxxxxxxxxxRW50ZXJwcmlzZS1DQTAe
Fw0yMDA2MDgwNzQwxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxIiMA0GCSqGSIb3DQEB
..........................
8wYIKWr2AqSKKxcBHxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3ykeRMZJk7VpQDQDLN
feFI4rHZ4JOqDWttiHxxxxxxxxxxxxxxxxxxxxxxxxxxxhpXsxyjQIRvrtaCZVXz
GR7Na7Ah1o+9MWenMExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGQlsQ47nZE2YgV
-----END CERTIFICATE-----</certificate>
</trusted_certificates>

Voit tarkistaa, että LDAPS-asetukset eivät ole palautuneet, suorittamalla curl GET -komennon:

# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<truststore_settings>
  <accept_all_certificates>false</accept_all_certificates>
</truststore_settings>

Jos sen arvo palautuu false-arvoksi, palauta sen arvoksi true.
Kun truststorea muutetaan, asetus voi määrittää arvoksi false.

Suorita curl-komento, jonka hyötykuormana on xml-tiedosto, curl PUT -komennolla:

# curl -s -k -X PUT -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore/settings --data-binary @truststoresettings.xml

LDAPS-asetusten tarkistaminen:

# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<truststore_settings>
  <accept_all_certificates>true</accept_all_certificates>
</truststore_settings>

4. Käytä ECS-todennuksen tarjoajan sivulla LDAPS:ää, jossa on toimialuenimi IP-osoitteen sijaan.

Kun LDAPS-varmenneketju on ladattu ECS:ään, Truststore ja accept_all_certificates merkinnän arvoksi on määritetty tosi, siirry ECS-käyttöliittymän todennuspalvelun sivulle ja vaihda palvelimen URL-osoite.
< ldap://Toimialueen ohjauskoneen IP tai FQDN>
vastaanottajalle
ldaps://< Toimialueen ohjauskoneen FQDN>

Tämä on:

FQDN ja LDAPS-protokolla Sen on oltava täydellinen toimialuenimi LDAPS-käyttöä

varten.

IP-osoitteen sijaan tarvitaan FQDN,
koska SSL-varmenteissa varmenteessa on oltava Subject Alternate Name (SAN), joka vastaa yhdistettävää yhteyttä. SAN-verkossa näkyy vain DNS-nimi, joka vastaa ECS:n määrityksiä.

Varmista siksi, että ECS-todennuksen tarjoajan sivun palvelimen URL-valintaikkunassa käytetään täydellistä toimialuenimeä IP-osoitteen sijaan.
Eli:
ldaps://fqdn-domain-of-the-ad-or-ldap-server.com

# cat cert_remove.xml | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<trusted_certificate_changes>
  <remove>
    <certificate>-----BEGIN CERTIFICATE-----
MIIG2TCCBMGgAwIBAgITMQAAAATxxxxxxxxxxxxxxxxxxxxxxxxxhkiG9w0BAQsF
ADBbMRIwEAYKCZImiZPyLGQBGRYxxxxxxxxxxxxxxxxxxxxxxxxxFgR2aXRjMRMw
.......................
pkHgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxzxhlGh2TaTC
xqz4T/sO4ggWs0Yz5nBmCZMDn6nxxxxxxrjX+ahXI=
-----END CERTIFICATE-----</certificate>
  <certificate>-----BEGIN CERTIFICATE-----
MIIG2TCCBMGgAwIBAgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqhkiG9w0BAQsF
ADBbMRIwEAYKCZImiZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZFgR2aXRjMRMw
EQYKCZImiZPyLGQBGRxxxxxxxxxxxxxxxxxxxxxxxxxxRW50ZXJwcmlzZS1DQTAe
Fw0yMDA2MDgwNzQwxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxIiMA0GCSqGSIb3DQEB
..........................
8wYIKWr2AqSKKxcBHxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3ykeRMZJk7VpQDQDLN
feFI4rHZ4JOqDWttiHxxxxxxxxxxxxxxxxxxxxxxxxxxxhpXsxyjQIRvrtaCZVXz
GR7Na7Ah1o+9MWenMExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGQlsQ47nZE2YgV
-----END CERTIFICATE-----</certificate>
  </remove>
</trusted_certificate_changes>

Jos haluat käyttää hyötykuormatiedostoa eli lisätä tai poistaa, käytä tätä komentoa:

# curl -s -k -X PUT -H Content-Type:application/xml-H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore --data-binary @cert_remove.xml

Voit tarkistaa hyötykuorman onnistumisen suorittamalla GET-komennon:

# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore | xmllint --format -
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<trusted_certificates/>

Jos et ole varma, vastaako LDAPS-palvelin annettua varmennetta, suorita seuraava komento ja tarkista vastaava varmenne LDAPS-palvelimen pyynnön odotetusta vastauksesta. 

Tässä esimerkissä LDAPS-palvelin on itse allekirjoitettu varmenne eikä kolmannen osapuolen varmenne, joten se voi antaa ylimääräisen varoituksen siitä, että palvelin on itse allekirjoitettu:

# sudo openssl s_client -connect LDAPS_server_IP:636 < /dev/null
CONNECTED(00000003)
depth=0 CN = 
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = 
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
........
---
Server certificate
-----BEGIN CERTIFICATE-----
.......
A cert that it expects.
.......
-----END CERTIFICATE-----
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2223 bytes and written 487 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
.......................
    SRP username: None
    Start Time: 1610452553
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
DONE

Tarkista varmennetiedosto, joka muodostaa yhteyden LDAPS-palvelimeen, ja jos vastaavaa varmennetta on käytettävä, se on Tarkista paluukoodi: 0 (ok)):

# openssl s_client -connect LDAPS_server_IP:636 -CAfile /home/admin/cert_file_to_be_used.crt
CONNECTED(00000003)
.......
---
Server certificate
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
.......
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2223 bytes and written 487 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
 .........
    Verify return code: 0 (ok)
---

Voit tarkistaa tämän tällä komennolla:

# cat /home/admin/cert.crt | openssl x509 -dates -noout
notBefore=Jan 12 13:43:52 2021 GMT
notAfter=Jan 12 13:43:52 2022 GMT

Komentoesimerkin JSON-versio.
Jos et käytä edellä olevia XML-komentoja (huomaa, XML on suositeltava):

curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore/settings

curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":false}

JSON-tiedoston luominen truststore-asetusten muuttamiseksi curl-komennolla JSON-tietosisällön kanssa:

# sudo vi truststoresettings.json
# sudo cat truststoresettings.json
{"accept_all_certificates": "true"}

Pythonin json.tool-moduuli voi vahvistaa JSON-tiedostomuodon. Jos on virhe, tiedosto ei ehkä ole JSON-tiedosto. Tässä esimerkissä ei ole virheitä, ja tiedosto tulostuu, joten se on muotoiltu JSON-tiedosto:     

# python -m json.tool truststoresettings.json
{
    "accept_all_certificates": "true"
}

Suorita curl-komento, jonka hyötykuormana on JSON-tiedosto, curl PUT -komennolla:

# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore/settings -d @truststoresettings.json

(HTTP) Tämä lähettää tiedot täsmälleen määritetyllä tavalla ilman ylimääräistä käsittelyä:
--data-ascii aka -d
(HTTP) Tämä on alias -d, --data.

Tarkista päivityksen suorittamalla curl GET -komento:

# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":true}

Testaa toimialueen käyttäjän kirjautuminen ECS-käyttöliittymässä niin, että LDAPS-varmenteet ovat nyt sallittuja.

Truststoren tutkiminen:

# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore

Esimerkki tyhjästä LDAP-varmenteen luottamussäilöstä:

# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.xxx.21:4443/vdc/truststore
{"certificate":[]}

Curl add -komennon JSON-muoto, yksirivinen tiedosto, jossa rivinvaihtomerkit on korvattu \n:llä ja \r\n:llä:

# cat cert.json
{"add":["-----BEGIN CERTIFICATE-----\nMIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nHhrV5ezjYHY=\r\n---END CERTIFICATE-----"]}

Katso ECS:n hallintaoppaasta "Lisää mukautettu LDAP-varmenne". Tällä komennolla voit lisätä tai poistaa:

# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore -d @cert.json

Latauksen tarkistaminen:

# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.xxx.21:4443/vdc/truststore
{"certificate":["-----BEGIN CERTIFICATE-----\nMIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nHhrV5ezjYHY=\r\n---END CERTIFICATE-----"]}

Voit tarkistaa, että LDAPS-asetukset eivät ole palautuneet, suorittamalla curl GET -komennon:

# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":false}

Jos sen arvo palautui epätosi, palauta sen arvoksi tosi. Kun truststorea muutetaan, asetukseksi voidaan määrittää false.

Suorita curl-komento, jonka hyötykuormana on JSON-tiedosto, curl PUT -komennolla:   

# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore/settings -d @truststoresettings.json

LDAPS-asetusten tarkistaminen:

# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":true}

Jos haluat poistaa varmenteen truststoresta, luo JSON-tiedosto, joka vastaa poistettavaa varmennetta, mutta käytä tietosisältönä add-komennon sijaan "remove":

# cat cert.json
{"remove":["-----BEGIN CERTIFICATE-----\nMIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nHhrV5ezjYHY=\r\n---END CERTIFICATE-----"]}

Lisää tai poista varmenne seuraavalla komennolla:

# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore -d @cert.json

Latauksen tarkistaminen:

# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.xxx.21:4443/vdc/truststore
{"certificate":[]}