Verschillen

Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.

--- werkinstructies:ssl_tls [2016/03/18 11:41]
abel [trusted certificates]
+++ werkinstructies:ssl_tls [2017/05/12 10:56] (huidige)
abel [Op Linux]
@@ Regel 83: / Regel 83: @@
 Het CA certificaat vindt je in ''/etc/pki/CA/cacert.pem''
+om twee keer eenzelfde certificaat te kunnen signen doe: ''vi /etc/pki/CA/index.txt.attr''
+en verander ''unique_subject = yes'' in ''unique_subject = no''
 ===== trusted  CA certificaten toevoegen =====
@@ Regel 104: / Regel 107: @@
 Kopieer je CA certificaat in PEM formaat naar ''/etc/pki/ca-trust/source/anchors/''
-Of, als jee certificaat in OpenSSL’s extended BEGIN TRUSTED CERTIFICATE formaat is, zet je het in /etc/pki/ca-trust/source.
+Of, als je certificaat in OpenSSL’s extended //BEGIN TRUSTED CERTIFICATE// formaat is, zet je het in ''/etc/pki/ca-trust/source''.
 En run ''update-ca-trust''.
-On RHEL 6, you have to activate the system with update-ca-trust enable.
+op RHEL 6 moet je de mogelijkheid tot toevoegen aanzetten door: ''update-ca-trust enable''
 === Ubuntu & Debian ===
 zet je ca certificaat in de trusted CA directory:\\
-''cp foo.crt /usr/local/share/ca-certificates/foo.crt''
+''cp cacert.pem /usr/local/share/ca-certificates/cacert-cind.pem''
 Update de CA store:\\
 ''update-ca-certificates''
-Verwijderen gaat precies omgekeerd; rnm het certificaat en run:\\
+Verwijderen gaat precies omgekeerd; rm het certificaat en run:\\
-''update-ca-certificates --fresh''
+''update-ca-certificates %%--fresh%%''
@@ Regel 143: / Regel 147: @@
 Bij servers waar je geen locale ssl software tot je beschikking hebt en sommige devices zul je de certificaten en keys op de CA server moeten maken. In dat geval moet je ook de serverkey naar de server transporteren.
+Ga naar de directory waar alle certificaten gesigned door deze CA zijn opgeslagen: '' cd /etc/pki/CA/certs/''
+en maak een key en CSR aan:
 ''openssl req -nodes -days 1000 -newkey rsa:2048 -keyout [FQDN].key -sha256 -out [FQDN].csr''
@@ Regel 148: / Regel 156: @@
 Met dit commando wordt zowel het signing request als de server key aangemaakt.
-Het programma vraagt je om enkele gegevens, waarvan de belangrijste de ''“Common Name”'' is. Vul hier je FQDN van de server waar je een certificaat voor maakt in, **LET GOED OP!** de default waarden kunnen verkeerd staan.
+Het programma vraagt je om enkele gegevens, waarvan de belangrijste de ''“Common Name”'' is. Vul hier je FQDN van de server waar je een certificaat voor maakt in,
+<note important>**LET GOED OP!** de default waarden kunnen verkeerd staan.</note>
 ===== X.509 Certificaten signen =====
 Haal het request over naar de CA server. Overigens, het request is niets anders dan de public key ingepakt in een certificaat die alleen de signing mist.
-sign het request, bijvoorbeeld die van de LDAP server:
+sign het request:
-''openssl ca -days 3650 -out LDAPcert.pem -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything -infiles LDAPreq.pem''
+''openssl ca -days 3650 -extensions v3_req -out [FQDN].crt -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything -infiles [FQDN].csr''
+bijvoorbeeld die van de LDAP server:
+''openssl ca -days 3650 -extensions v3_req -out LDAPcert.pem -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything -infiles LDAPreq.pem''
 <code>
@@ Regel 213: / Regel 227: @@
 [[http://kb.kerio.com/product/kerio-connect/server-configuration/ssl-certificates/adding-trusted-root-certificates-to-the-server-1605.html]]
+[[http://www.vstrong.info/2013/03/19/how-to-create-server-certificate-and-include-dns-alias/]]
+[[https://www.happyassassin.net/2015/01/14/trusting-additional-cas-in-fedora-rhel-centos-dont-append-to-etcpkitlscertsca-bundle-crt-or-etcpkitlscert-pem/]]

Gebruikershulpmiddelen

Site-hulpmiddelen

Verschillen

Paginahulpmiddelen