[마운트] FreeIPA 중간 CA 인증서가 만료되었습니다.
4883 단어 freeipa
질문:
네트워크에서 2개의 FreeIPA 서버가 실행되고 있습니다.https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020
중간 CA가 만료되어 LDAP에 연결할 수 없습니다.
로그에 다음과 같은 오류가 있습니다.
ipa: INFO: 401 Unauthorized: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:618)
[:error] [pid 2041] SSL Library Error: -12269 The server has rejected your certificate as expired
CA 체인을 확인하면 다음을 얻을 수 있습니다.
# openssl s_client -showcerts -verify 5 -connect ldap.example.com:443
verify depth is 5
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify error:num=10:certificate has expired
notAfter=May 30 10:48:38 2020 GMT
verify return:1
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
notAfter=May 30 10:48:38 2020 GMT
verify return:1
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify error:num=10:certificate has expired
notAfter=May 30 10:48:38 2020 GMT
verify return:1
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
notAfter=May 30 10:48:38 2020 GMT
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
notAfter=Dec 31 23:59:59 2030 GMT
verify return:1
depth=0 OU = Domain Control Validated, OU = EssentialSSL Wildcard, CN = *.example.com
notAfter=Sep 16 23:59:59 2021 GMT
verify return:1
만료된 CA를 삭제하거나 업데이트하는 방법은 무엇입니까?
답안1:
다음은 CA를 업데이트하는 방법입니다.
1) 이전에 LDAP를 전체 백업하는 것이 좋습니다.
2) 2020년 5월 30일 이전 날짜로 변경
date -s"Fri May 29 12:05:19 EDT 2020"
3) NSS DB에서 이전 인증서 찾기(IPA CA 제외)'
$ ipa-cacert-manage list | grep -v 'IPA CA'
OLDCA
OLD-Intermediate-1
4) 모든 NSS DB에서 이전 인증서 삭제
$ cat dblist.txt
/etc/ipa/nssdb
/etc/pki/pki-tomcat/alias
/etc/httpd/alias
/etc/dirsrv/slapd-EXAMPLE-COM (Replace EXAMPLE-COM with your realm)
/etc/httpd/alias
$ for DB in `cat dblist.txt`; do /usr/bin/certutil -d $DB -D -n OLDCA; done
$ for DB in `cat dblist.txt`; do /usr/bin/certutil -d $DB -D -n OLD-Intermediate-1; done
5) 기초 dn 찾기
$ cat /etc/ipa/default.conf | grep basedn
basedn = dc=example,dc=com
6) LDAP에서 IPA CA 이외의 이전 인증서를 찾아 5단계를 바탕으로'dc=example, dc=com'으로 교체
$ ldapsearch -h localhost -p 389 -D cn=directory manager -W -b cn=certificates,cn=ipa,cn=etc,dc=example,dc=com | grep ^dn: | grep -v 'IPA CA'
dn: cn=OLDCA,cn=certificates,cn=ipa,cn=etc,dc=example,dc=com
dn: cn=OLD-Intermediate-1,cn=certificates,cn=ipa,cn=etc,dc=example,dc=com
7) IPA CA 이외의 이전 LDAP 인증서 삭제
$ ldapdelete -h localhost -p 389 -D cn=directory manager -W"cn=OLDCA,cn=certificates,cn=ipa,cn=etc,dc=example,dc=com"
$ ldapdelete -h localhost -p 389 -D cn=directory manager -W"cn=OLD-Intermediate-1,cn=certificates,cn=ipa,cn=etc,dc=example,dc=com"
8) 새로운 작업 가능한 체인을 찾습니다. 예를 들어 여기에서 얻을 수 있습니다.https://support.sectigo.com/articles/Knowledge/Sectigo-Intermediate-Certificates?retURL=/apex/Com_KnowledgeWeb2Casepagesectigo&popup=false
[Download] SHA-2 Root : USERTrust RSA Certification Authority
[Download] Sectigo RSA Domain Validation Secure Server CA [ Intermediate ]
9) 새 인증서 설치
$ echo"passw0rd" | kinit admin
$ ipa-cacert-manage -p"passw0rd" -n NEWCA -t C,, install NEWCA.crt
$ ipa-cacert-manage -p"passw0rd" -n NEW-Intermediate -t C,, install NEW-Intermediate.crt
$ ipa-certupdate
$ ipa-server-certinstall -w -d star.example.com.key star.example.com.crt --pin="passw0rd" --dirman-password="passw0rd"
$ ipa-cacert-manage list
EXAMPLE.COM IPA CA
NEWCA
NEW-Intermediate
The ipa-cacert-manage command was successful
10) 날짜 업데이트 및 재시작
답안2:
나는 이 문제를 복구했다.
업데이트된 인증서를 캡처하려면 다음과 같이 하십시오.https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000rfBO
ipa-cacert-manage -p xxxxxxxx -t C,, install SHA-2 Root USERTrust RSA Certification Authority.crt ipa-cacert-manage -p xxxxxxxx -t C,, install SectigoRSADomainValidationSecureServerCA.crt 날짜 설정:
date -s "29 may 2020" kinit admin ipa-certupdate 좋은 웹페이지 즐겨찾기
