ECS: Slik konfigurerer og godtar du sertifikater over LDAPS på ECS
Summary: Konfigurere og godta sertifikater via Lightweight Directory Access Protocol Secure (LDAPS) på ECS.
Instructions
LDAPS, også kjent som Lightweight Directory Access Protocol (LDAP) over Secure Socket Layer (SSL) eller Transport Layer Security (TLS), er en kryptert trafikkform for LDAP-bruk for en Active Directory (AD) eller LDAP-server.
LDAPS er avhengig av en fungerende LDAP-forbindelse. Les ECS-administrasjonsveiledningen og denne kunnskapsartikkelen ECS: Slik konfigurerer du en AD- eller LDAP-servertilkobling i brukergrensesnittet
En kritisk komponent med SSL- eller TLS-kommunikasjon er sertifikatene. Kontroller at sertifikatene som brukes ikke er utløpt og ugyldige. Dette er viktig for at alle sertifikatene i hele sertifikatkjeden skal være korrekte.
Sjekk med nettverksteamet ditt i den forbindelse.
Legg merke til følgende trinn for å laste opp LDAPS-sertifikatkjeden og aktivere LDAPS.
1. En IP-adresse for nodeadministrasjon er nødvendig for å laste opp LDAPS-sertifikatkjeden.
2. Rotbrukeren av brukergrensesnittet må laste opp LDAPS-sertifikatkjeden til CLI-grensesnittet for nodeadministrasjon.
3A. LDAPS-sertifikatkjeden i en XML-nyttelast til IP-adressen
for nodeadministrasjon 3B. LDAPS aktiverer parameterinnstilling i en XML-nyttelast til nodeadministrasjons-IP-adressen
4. Bruk LDAPS på siden for ECS-godkjenningsleverandør, med et fullstendig kvalifisert domenenavn (FQDN) i stedet for en IP-adresse.
5. Test domenebrukerpåloggingen.
For trinn 3
trenger du en FQDN i stedet for en IP-adresse som:
"Med SSL-sertifikater må sertifikatet ha et alternativt emnenavn (SAN) i sertifikatet for å samsvare med tilkoblingen som kobles til. SAN vises bare et DNS-navn som samsvarer med konfigurasjonen på ECS."
Bekreft derfor at siden ECS-godkjenningsleverandør, dialogboksen URL-adresse for server, bruker en FQDN i stedet for en IP-adresse.
Eksempel: ldaps://ad-or-ldap-fqdn-domain.com
Trinnene ovenfor:
- En IP-adresse for nodeadministrasjon er nødvendig for å laste opp LDAPS-sertifikatkjeden.
Hvis du vil undersøke ECS-innstillingene for LDAPS-sertifikatinnstillingene, må du først bruke en nodeadministrasjons-IP.
Hvis det er nettverksseparasjon for UI-administrasjonen, viser "getrackinfo -n"-verdiene "MGMT".
Bruk nodenes MGMT-IP-adresse. Replikering og separasjon av datanettverk er ikke relatert til disse trinnene:
admin@node1:~> getrackinfo -n Named networks ============== Node ID Network Ip Address Netmask Gateway VLAN Interface 1 repl 10.xxx.xxx.11 255.255.254.0 xxx.xxx.xxx.xxx 14 public 1 mgmt 10.xxx.xxx.21 255.255.254.0 xxx.xxx.xxx.xxx 13 public 1 data 10.xxx.xxx.31 255.255.254.0 xxx.xxx.xxx.xxx 15 public 2 repl 10.xxx.xxx.12 255.255.254.0 xxx.xxx.xxx.xxx 14 public 2 mgmt 10.xxx.xxx.22 255.255.254.0 xxx.xxx.xxx.xxx 13 public 2 data 10.xxx.xxx.32 255.255.254.0 xxx.xxx.xxx.xxx 15 public 3 repl 10.xxx.xxx.13 255.255.254.0 xxx.xxx.xxx.xxx 14 public 3 mgmt 10.xxx.xxx.23 255.255.254.0 xxx.xxx.xxx.xxx 13 public 3 data 10.xxx.xxx.33 255.255.254.0 xxx.xxx.xxx.xxx 15 public 4 repl 10.xxx.xxx.14 255.255.254.0 xxx.xxx.xxx.xxx 14 public 4 mgmt 10.xxx.xxx.24 255.255.254.0 xxx.xxx.xxx.xxx 13 public 4 data 10.xxx.xxx.34 255.255.254.0 xxx.xxx.xxx.xxx 15 public
Hvis det ikke er noen nettverks-MGMT-separasjon på VDC, bruker du nodens offentlige IP-adresse i stedet.
I følgende eksempel finnes det ingen MGMT i "getrackinfo -n"; Bruk derfor den offentlige IP-adressen i getrackinfo som administrasjons-IP-adresse for de neste trinnene.
admin@node1:~> getrackinfo -n Named networks ============== Node ID Network Ip Address Netmask Gateway VLAN Interface admin@node1:~> admin@node1:~> getrackinfo Node private Node Public BMC Ip Address Id Status Mac Ip Address Mac Ip Address Node Name =============== ====== ====== ================= ================= ================= ================= ========= 192.1XX.2XX.1 1 MA a4:bf:xx:xx:xx:74 10.xx.xx.1 a4:bf:xx:xx:xx 192.1XX.2XX.101 provo-red 192.1XX.2XX.2 2 SA a4:bf:xx:xx:xx:c8 10.xx.xx.2 a4:bf:xx:xx:xx 192.1XX.2XX.102 sandy-red 192.1XX.2XX.3 3 SA a4:bf:xx:xx:xx:e0 10.xx.xx.3 a4:bf:xx:xx:xx 192.1XX.2XX.103 orem-red 192.1XX.2XX.4 4 SA a4:bf:xx:xx:xx:56 10.xx.xx.4 a4:bf:xx:xx:xx 192.168.219.104 ogden-red
2. Rotbrukeren i brukergrensesnittet må laste opp LDAPS-sertifikatkjeden til CLI-grensesnittet for nodeadministrasjon.
Bruk administrasjons-IP-adressen som er anskaffet, til å hente rotbrukertokenet. Root-brukerpassord kreves (eller for en UI-bruker med administratorrettigheter for brukergrensesnittet):
curl -s -k -v -u <user> https://<NodeManagementIP>:4443/login 2>&1
# curl -s -k -v -u root https://10.xxx.xxx.21:4443/login 2>&1 Enter host password for user 'root': ...... < HTTP/1.1 200 OK < Date: Thu, 14 Jan 2021 13:51:24 GMT < Content-Type: application/xml < Content-Length: 93 < Connection: keep-alive < X-SDS-AUTH-TOKEN: BAAcdWhGbnVRVjd1WlpmR0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAgAC0A8= < X-SDS-AUTH-USERNAME: root < X-SDS-AUTH-MAX-AGE: 28800 < * Connection #0 to host 10.xxx.xxx.21 left intact <?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>root</user></loggedIn>
Hvis utdataene ikke er "HTTP/1.1 200 OK", kontrollerer du passordet og IP-adressen som er hvis det finnes atskillelse av UI-administrasjonsnettverk fra kommandoen "getrackinfo -n."
Opprett en tokenvariabel med rotbrukertokenet.
# export TOKEN='X-SDS-AUTH-TOKEN: BAAcdWhGbnVRVjd1WlpmR0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAgAC0A8='
Hvis du vil teste tokenverdien, kjører du en curl Kommando for å sjekke kapasiteten:
# curl -k -X GET -H "$TOKEN" https://10.xxx.xxx.21:4443/object/capacity | xmllint --format - % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 176 100 176 0 0 249 0 --:--:-- --:--:-- --:--:-- 250 <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <cluster_capacity> <totalFree_gb>100657</totalFree_gb> <totalProvisioned_gb>447005</totalProvisioned_gb> </cluster_capacity>
3A. LDAPS-sertifikatkjeden i en XML-nyttelast til IP-adressen
for nodeadministrasjon 3B. LDAPS aktiverer parameterinnstilling. Godta LDAPS-parameteren i en XML-nyttelast til nodeadministrasjons-IP-adressen.
Ovennevnte bruker rotbrukertokenet for å få curl-tilgang til ECS UI-forvalterlageret der LDAPS-sertifikatet kan lastes opp.
Se ECS-administratorveiledningen hvis du vil ha mer informasjon om «Legg til et egendefinert LDAP-sertifikat».
Få truststore-innstillingene med en curl GET kommando:
curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore/settings | xmllint --format -
curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings> <accept_all_certificates>false</accept_all_certificates> </truststore_settings>
I eksemplet ovenfor er truststore "accept_all_certificates" er satt til usann. Dette betyr at ingen LDAPS-sertifikater er klarert.
Den "accept_all_certificates" begrepet kanskje tvetydig, men det er et flagg som fortsatt brukes for ECS for å avgjøre om LDAPS-sertifikater skal brukes.
En bruker vil kanskje at dette skal settes til sant eller usant, avhengig av deres behov. Hvis du vil teste LDAPS-tilkoblingen, sette den til sann og teste brukerens pålogging, kan LDAPS-tilkoblingen valideres.
"accept_all_certificates" snur tilbake til usant. Så hvis du redigerer truststore, må du angi "accept_all_certificates" Tilbake til sann etterpå.
Opprett en xml-fil for å endre truststore-innstillingene ved hjelp av en curl-kommando med en xml-nyttelast:
# sudo vi truststoresettings.xml <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings_changes> <accept_all_certificates>true</accept_all_certificates> </truststore_settings_changes> # cat truststoresettings.xml | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings_changes> <accept_all_certificates>true</accept_all_certificates> </truststore_settings_changes>
Hvis du vil angi accept_all_certificates til usann, redigerer du nyttelastfilen til usann i stedet for sann, og kjører PUT-kommandoen ved hjelp av nyttelastfilen.
Kjør en curl-kommando med en xml-fil som nyttelast med en curl PUT-kommando:
# curl -s -k -X PUT -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore/settings --data-binary @truststoresettings.xml
Hvis du vil kontrollere at "accept_all_certificates" er oppdatert, kjører du kommandoen "curl GET":
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings_changes> <accept_all_certificates>true</accept_all_certificates> </truststore_settings_changes>
For å undersøke truststore, ikke bare truststore-innstillingen:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore | xmllint --format -
Et eksempel på et tomt LDAP-sertifikatlager:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificates/>
Det kan være nødvendig med flere sertifikater, siden ECS krever hele sertifikatkjeden, rotsertifikatet, CA-sertifikatet, vertssertifikatet og så videre.
Hvis du vil legge til et sertifikat i truststore, oppretter du en xml-fil av sertifikatet brukeren har. Et sertifikat kan være filtypene .pem, .crt, .cer og så videre.
Hvis du vil laste opp sertifikatene til ECS, må de være i et xml-format for å fungere som en xml-nyttelast.
Fil i uten XML-format for sertifikatet:
# cat cert.crt -----BEGIN CERTIFICATE----- MIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx HhrV5ezjYHY= -----END CERTIFICATE-----
XML-formatet for en curl add-kommando:
# cat cert.xml | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificate_changes> <add> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgITMQAAAATxxxxxxxxxxxxxxxxxxxxxxxxxhkiG9w0BAQsF ADBbMRIwEAYKCZImiZPyLGQBGRYxxxxxxxxxxxxxxxxxxxxxxxxxFgR2aXRjMRMw ....................... pkHgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxzxhlGh2TaTC xqz4T/sO4ggWs0Yz5nBmCZMDn6nxxxxxxrjX+ahXI= -----END CERTIFICATE-----</certificate> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqhkiG9w0BAQsF ADBbMRIwEAYKCZImiZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZFgR2aXRjMRMw EQYKCZImiZPyLGQBGRxxxxxxxxxxxxxxxxxxxxxxxxxxRW50ZXJwcmlzZS1DQTAe Fw0yMDA2MDgwNzQwxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxIiMA0GCSqGSIb3DQEB .......................... 8wYIKWr2AqSKKxcBHxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3ykeRMZJk7VpQDQDLN feFI4rHZ4JOqDWttiHxxxxxxxxxxxxxxxxxxxxxxxxxxxhpXsxyjQIRvrtaCZVXz GR7Na7Ah1o+9MWenMExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGQlsQ47nZE2YgV -----END CERTIFICATE-----</certificate> </add> </trusted_certificate_changes>
Last opp xml-format for cert-nyttelast:
curl -i -s -k -X PUT -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore --data-binary @cert.xml
Hvis du vil kontrollere at sertifikatet er lastet opp, kjører du GET-kommandoen. Sluttlinjetegnet i ECS truststore er " ."
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificates> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgITMQAAAATxxxxxxxxxxxxxxxxxxxxxxxxxhkiG9w0BAQsF ADBbMRIwEAYKCZImiZPyLGQBGRYxxxxxxxxxxxxxxxxxxxxxxxxxFgR2aXRjMRMw ....................... pkHgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxzxhlGh2TaTC xqz4T/sO4ggWs0Yz5nBmCZMDn6nxxxxxxrjX+ahXI= -----END CERTIFICATE-----</certificate> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqhkiG9w0BAQsF ADBbMRIwEAYKCZImiZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZFgR2aXRjMRMw EQYKCZImiZPyLGQBGRxxxxxxxxxxxxxxxxxxxxxxxxxxRW50ZXJwcmlzZS1DQTAe Fw0yMDA2MDgwNzQwxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxIiMA0GCSqGSIb3DQEB .......................... 8wYIKWr2AqSKKxcBHxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3ykeRMZJk7VpQDQDLN feFI4rHZ4JOqDWttiHxxxxxxxxxxxxxxxxxxxxxxxxxxxhpXsxyjQIRvrtaCZVXz GR7Na7Ah1o+9MWenMExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGQlsQ47nZE2YgV -----END CERTIFICATE-----</certificate> </trusted_certificates>
Hvis du vil kontrollere at LDAPS-innstillingene ikke er tilbakestilt, kjører du kommandoen "curl GET":
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings> <accept_all_certificates>false</accept_all_certificates> </truststore_settings>
Hvis den gikk tilbake til usann, sett den tilbake til sann,
som når det er en endring i truststore, kan innstillingen sette seg til "false".
Kjør en curl-kommando med en xml-fil som nyttelast med en curl PUT-kommando:
# curl -s -k -X PUT -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore/settings --data-binary @truststoresettings.xml
Slik kontrollerer du LDAPS-innstillingene:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings> <accept_all_certificates>true</accept_all_certificates> </truststore_settings>
4. Bruk LDAPS på siden for ECS-godkjenningsleverandør med FQDN i stedet for en IP-adresse.
Med LDAPS-sertifikatkjeden lastet opp til ECS truststore og accept_all_certificates flagg satt til true, gå til siden ECS UI-godkjenningsleverandør og endre URL-adressen for serveren fra.
< ldap://IP- eller FQDN-domenekontroller>
Til
ldaps://< Domain Controller FQDN>
Det vil si:
FQDN med LDAPS-protokollen
Det må være en FQDN for LDAPS-bruk.
En FQDN er nødvendig i stedet for en IP-adresse som:
"Med SSL-sertifikater må sertifikatet ha et Subject Alternate Name (SAN) i sertifikatet for å matche for tilkoblingen som kobles til. SAN presenteres bare med et DNS-navn for å matche konfigurasjonen på ECS."
Bekreft derfor at siden ECS-godkjenningsleverandør, dialogboksen URL-adresse for server, bruker en FQDN i stedet for en IP-adresse.
Det vil si:
ldaps://fqdn-domain-of-the-ad-or-ldap-server.com
Porter:
Standardporten for LDAP er 389.
Standardporten for LDAPS er 636.
URL-adresse Format hvis ikke-standard port:
< ldap://IP-adressen for domenekontrolleren< eller FQDN:>port> eller ldaps://< domenekontroller FQDN:><port>
5. Test domenebrukerpåloggingen.
Test deretter domenebrukerpåloggingen mens LDAPS-protokollen er vellykket hvis domenebrukerne kan logge på med LDAPS.
Derfor fungerer tilkoblingen for ECS-LDAPS-protokollen.
Annen informasjon:
Om nødvendig:
Hvis du vil fjerne et sertifikat fra truststore, oppretter du en XML-fil som samsvarer med sertifikatet for å fjerne, men i stedet for
"add" som nyttelast, bruk "remove":
# cat cert_remove.xml | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificate_changes> <remove> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgITMQAAAATxxxxxxxxxxxxxxxxxxxxxxxxxhkiG9w0BAQsF ADBbMRIwEAYKCZImiZPyLGQBGRYxxxxxxxxxxxxxxxxxxxxxxxxxFgR2aXRjMRMw ....................... pkHgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxzxhlGh2TaTC xqz4T/sO4ggWs0Yz5nBmCZMDn6nxxxxxxrjX+ahXI= -----END CERTIFICATE-----</certificate> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqhkiG9w0BAQsF ADBbMRIwEAYKCZImiZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZFgR2aXRjMRMw EQYKCZImiZPyLGQBGRxxxxxxxxxxxxxxxxxxxxxxxxxxRW50ZXJwcmlzZS1DQTAe Fw0yMDA2MDgwNzQwxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxIiMA0GCSqGSIb3DQEB .......................... 8wYIKWr2AqSKKxcBHxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3ykeRMZJk7VpQDQDLN feFI4rHZ4JOqDWttiHxxxxxxxxxxxxxxxxxxxxxxxxxxxhpXsxyjQIRvrtaCZVXz GR7Na7Ah1o+9MWenMExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGQlsQ47nZE2YgV -----END CERTIFICATE-----</certificate> </remove> </trusted_certificate_changes>
For å bruke nyttelastfilen, det vil si legge til eller fjerne, bruk denne kommandoen:
# curl -s -k -X PUT -H Content-Type:application/xml-H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore --data-binary @cert_remove.xml
For å sjekke om nyttelasten var vellykket, kjør GET-kommandoen:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificates/>
Hvis du er usikker på om LDAPS-tjeneren ikke samsvarer med det oppgitte sertifikatet, kjører du følgende kommando for å kontrollere forventet svar fra LDAPS-serverforespørselen om et samsvarende sertifikat.
"verify error:num=21:unable to verify the first certificate".
I dette eksempelet er LDAPS-tjeneren et selvsignert sertifikat i stedet for et tredjepartssertifikat, så det kan generere en ekstra advarsel om at den er selvsignert:
# sudo openssl s_client -connect LDAPS_server_IP:636 < /dev/null
CONNECTED(00000003)
depth=0 CN =
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN =
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
........
---
Server certificate
-----BEGIN CERTIFICATE-----
.......
A cert that it expects.
.......
-----END CERTIFICATE-----
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2223 bytes and written 487 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
.......................
SRP username: None
Start Time: 1610452553
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
DONE
Kontroller sertifikatfilen som kobles til LDAPS-tjeneren, og hvis det finnes et samsvarende sertifikat som skal brukes, er det Bekreft returkode: 0 (ok):
# openssl s_client -connect LDAPS_server_IP:636 -CAfile /home/admin/cert_file_to_be_used.crt
CONNECTED(00000003)
.......
---
Server certificate
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
.......
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2223 bytes and written 487 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
.........
Verify return code: 0 (ok)
---
For å sjekke dette, bruk denne kommandoen:
# cat /home/admin/cert.crt | openssl x509 -dates -noout notBefore=Jan 12 13:43:52 2021 GMT notAfter=Jan 12 13:43:52 2022 GMT
JSON-versjon av kommandoeksemplet.
Hvis du ikke bruker XML-kommandoene ovenfor (merk, XML foretrekkes):
curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore/settings
curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":false}
Slik oppretter du en JSON-fil for å endre truststore-innstillingene ved hjelp av en curl-kommando med en JSON-nyttelast:
# sudo vi truststoresettings.json
# sudo cat truststoresettings.json
{"accept_all_certificates": "true"}
json.tool-modulen på python kan validere et JSON-filformat. Hvis det oppstår en feilmelding om at filen kanskje ikke er en JSON-fil. I dette eksemplet er det ingen feil og sender ut filen slik at den er en formatert JSON-fil:
# python -m json.tool truststoresettings.json
{
"accept_all_certificates": "true"
}
Kjør en curl-kommando med en JSON-fil som nyttelast med en curl PUT-kommando:
# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore/settings -d @truststoresettings.json
XML-nyttelast PUT bruker --data-binary i curl-kommandoen, mens JSON-nyttelasten PUT bruker
-d I curl-kommandoen:
--data-binary
(VG Nett) Dette legger inn data nøyaktig som spesifisert uten ekstra behandling:--data-ascii aka -d
(VG Nett) Dette er et alias for -d, --data.
For å sjekke at den er oppdatert, kjør kommandoen curl GET:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":true}
Test domenebrukerens pålogging på ECS-grensesnittet med LDAPS-sertifikatene som nå er tillatt.
Slik undersøker du truststore:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore
Eksempel på et tomt LDAP-sertifikatlager:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.xxx.21:4443/vdc/truststore
{"certificate":[]}
JSON-formatet for en curl add-kommando, en fil med én linje der linjetegn erstattes med \n og \r\n:
{"add":["-----BEGIN CERTIFICATE-----\nxxxxx\r\n---END CERTIFICATE-----"]}
# cat cert.json
{"add":["-----BEGIN CERTIFICATE-----\nMIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nHhrV5ezjYHY=\r\n---END CERTIFICATE-----"]}
Se ECS-administrasjonsveiledningen «Legg til et egendefinert LDAP-sertifikat». Bruk denne kommandoen til å legge til eller fjerne:
# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore -d @cert.json
Slik sjekker du opplastingen:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.xxx.21:4443/vdc/truststore
{"certificate":["-----BEGIN CERTIFICATE-----\nMIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nHhrV5ezjYHY=\r\n---END CERTIFICATE-----"]}
Hvis du vil kontrollere at LDAPS-innstillingene ikke er tilbakestilt, kjører du kommandoen "curl GET":
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":false}
Hvis den gikk tilbake til usann, setter du den tilbake til sann. Når det er en endring i truststore, kan innstillingen sette seg til "false".
Kjør en curl-kommando med en JSON-fil som nyttelast med en curl PUT-kommando:
# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore/settings -d @truststoresettings.json
Slik kontrollerer du LDAPS-innstillingene:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":true}
Hvis du vil fjerne et sertifikat fra truststore, oppretter du en JSON-fil som samsvarer med sertifikatet for å fjerne, men i stedet for "add" som nyttelast, bruker du "remove":
# cat cert.json
{"remove":["-----BEGIN CERTIFICATE-----\nMIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nHhrV5ezjYHY=\r\n---END CERTIFICATE-----"]}
Hvis du vil legge til eller fjerne, bruker du denne kommandoen:
# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore -d @cert.json
Slik sjekker du opplastingen:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.xxx.21:4443/vdc/truststore
{"certificate":[]}