Re: [lmn] Letsencrypt Zertifikat für ldap einrichten
Hallo Björn, danke dir...habe was gelernt :-) Gruß Dominik Am 23.12.2015 um 08:50 schrieb Björn Sieper: > Hallo Dominik, > > ich habe für meinen LDAP folgendes: > TLSCACertificateFile /etc/ssl/private/comodo-ca-bundle.crt > TLSCertificateFile /etc/ssl/private/wildcard.baden-baden.de.crt > TLSCertificateKeyFile /etc/ssl/private/wildcard.baden-baden.de.pem > > Dabei ist wildcard.baden-baden.de.crt das eigentliche Zertifikat, die > gleichnamige pem ist der key und das comodo-ca-bundle.crt ist das > intermediate Zertifikat. > > Ich würde jetzt annehmen wollen, aber das kannst du sehen wenn du die > Dateien aufmachst, dass im chain file das intermediate mit drin steckt, > daher würde ich für das erste das chain.pem verwenden. > > Vermutlich wird in dem cert.pem sowohl der key als auch das Zertifikat > für deine Domain drin sein. Deswegen würde ich das für die letzten 2 > nehmen. > > Das müsste zunächst mal ausreichen, um den LDAP zufrieden zu stellen. > Gemeint hatte ich im übrigen, dass der LDAP möglicherweise nur > vertrauenswürdige Zertifikate ausliefert. Deswegen müssen wir unsere > self signed certs ja auch im System bekannt machen und wenn das root > cert von letsencrypt bei deinem System nicht akzeptiert wird, könnte es > eben sein, dass der ldap meckert. > > Grüße > Björn > > Am 23.12.2015 um 07:51 schrieb Dominik Förderer: >> Hallo Björn, >> >>> mit den Zertifikaten von letsencrypt hab ich das noch nicht gemacht, >>> sondern bisher nur mit "klassischen" aber hast du mal überprüft ob du >>> die nötigen Stammzertifikate im System verankert hast? >> >> ...habe nur eingeschränkt Ahnung was du meinst? Meinst du ca-certs oder >> was meinst du...ich habe von dieser Materie eher wenig Ahnung! >> >> Gruß >> >> Dominik >> > > ___ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > -- Windeck-Gymnasium Bühl (Netzwerkbetreuung) Dominik Förderer Humboldtstr. 3 77815 Bühl Tel.: 07223/940956 Web.: http://www.windeck-gymnasium.de ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Letsencrypt Zertifikat für ldap einrichten
Hallo Jörg, > Versuch mal private.pem für das KeyFile und fullchain.pem für die beiden > anderen. Ansonsten chain.pem für das erste und server.pem für das zweite. ...das wars :-). Reihenfolge chain.pem, cert.pem und private.pem hat den Ldap zufrieden gestellt. Auf die Art geht allerdings die Authentifizierung per ldaps nicht mehr...wie man das hin bekommt habe ich hier: http://www.linuxmuster.net/forum/forum.php?req=thread&postid=5152&unb661sess=hrh84d3miqi5tdbnskfok79qp0 gefunden und mit ein paar Modifikationen hingebastelt. Das ist insgesamt wirklich ein ganz schönes Gefummel aber ich habe jetzt alles gescriptet und von nun an sollte ich also mit letsencrypt am signiert Start sein :-) Für alle Mitleser: ich teste die ganze Sache jetzt mal ein/zwei Monate und schreibe dann ggf. eine Anleitung ins Wiki. Viele Grüße Dominik -- Windeck-Gymnasium Bühl (Netzwerkbetreuung) Dominik Förderer Humboldtstr. 3 77815 Bühl Tel.: 07223/940956 Web.: http://www.windeck-gymnasium.de ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Letsencrypt Zertifikat für ldap einrichten
Hallo Dominik, ich habe für meinen LDAP folgendes: TLSCACertificateFile /etc/ssl/private/comodo-ca-bundle.crt TLSCertificateFile /etc/ssl/private/wildcard.baden-baden.de.crt TLSCertificateKeyFile /etc/ssl/private/wildcard.baden-baden.de.pem Dabei ist wildcard.baden-baden.de.crt das eigentliche Zertifikat, die gleichnamige pem ist der key und das comodo-ca-bundle.crt ist das intermediate Zertifikat. Ich würde jetzt annehmen wollen, aber das kannst du sehen wenn du die Dateien aufmachst, dass im chain file das intermediate mit drin steckt, daher würde ich für das erste das chain.pem verwenden. Vermutlich wird in dem cert.pem sowohl der key als auch das Zertifikat für deine Domain drin sein. Deswegen würde ich das für die letzten 2 nehmen. Das müsste zunächst mal ausreichen, um den LDAP zufrieden zu stellen. Gemeint hatte ich im übrigen, dass der LDAP möglicherweise nur vertrauenswürdige Zertifikate ausliefert. Deswegen müssen wir unsere self signed certs ja auch im System bekannt machen und wenn das root cert von letsencrypt bei deinem System nicht akzeptiert wird, könnte es eben sein, dass der ldap meckert. Grüße Björn Am 23.12.2015 um 07:51 schrieb Dominik Förderer: Hallo Björn, mit den Zertifikaten von letsencrypt hab ich das noch nicht gemacht, sondern bisher nur mit "klassischen" aber hast du mal überprüft ob du die nötigen Stammzertifikate im System verankert hast? ...habe nur eingeschränkt Ahnung was du meinst? Meinst du ca-certs oder was meinst du...ich habe von dieser Materie eher wenig Ahnung! Gruß Dominik ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Letsencrypt Zertifikat für ldap einrichten
Hallo Dominik, > Am 23.12.2015 um 06:59 schrieb Dominik Förderer > : > > Hallo an alle, > > ich habe in den letzten Wochen einige Tests mit letsencrypt gemacht und > die automatische Erneuerung per cronjob klappt gut. Der Apache in meinem > linuxmusternet Server und meiner Owncloud sind schon auf die Zertifikate > umgestellt. Jetzt möchte ich gerne die Zertifikate auch für meinen ldap > benutzen, damit die Authentifizierung gegen Webuntis klappt; die > akzeptieren keine selfsigned Certificates. In der /etc/ldap/slapd.conf > kann ich die Pfade zum Zertifikat angeben; das sieht in der > Werkseinstellung dann so aus: > > TLSCACertificateFile /etc/ssl/private/server.pem > TLSCertificateFile /etc/ssl/private/server.pem > TLSCertificateKeyFile /etc/ssl/private/server.pem > > ...ich habe das Problem, das bei letsencrypt nicht ein sondern einige > "Zertifikatsvarianten" erzeugt > werden...http://letsencrypt.readthedocs.org/en/latest/using.html#where-are-my-certificates > > ...es gibt also private.pem, cert.pem, chain.pem und fullchain.pem. > > Frage also: wie muss ich da was in der slapd.conf angeben...ich habe > viel versucht und vieles nachgelesen aber ich bin wohl zu kleingeistig > um das selber hinzubekommen ;-)...mit keiner Variante, die ich bisher > versucht habe startet mein ldap noch!? ...bin für jeden Tipp dankbar! > > Nur der Vollständigkeit halber...muss ich außer den Pfaden zum > Zertifikat noch etwas am ldap umstellen, damit alles klappt?! > > Vielen Dank schonmal! Versuch mal private.pem für das KeyFile und fullchain.pem für die beiden anderen. Ansonsten chain.pem für das erste und server.pem für das zweite. Viele Grüße Jörg ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Letsencrypt Zertifikat für ldap einrichten
Hallo Björn, > mit den Zertifikaten von letsencrypt hab ich das noch nicht gemacht, > sondern bisher nur mit "klassischen" aber hast du mal überprüft ob du > die nötigen Stammzertifikate im System verankert hast? ...habe nur eingeschränkt Ahnung was du meinst? Meinst du ca-certs oder was meinst du...ich habe von dieser Materie eher wenig Ahnung! Gruß Dominik -- Windeck-Gymnasium Bühl (Netzwerkbetreuung) Dominik Förderer Humboldtstr. 3 77815 Bühl Tel.: 07223/940956 Web.: http://www.windeck-gymnasium.de ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Letsencrypt Zertifikat für ldap einrichten
Hallo Dominik, mit den Zertifikaten von letsencrypt hab ich das noch nicht gemacht, sondern bisher nur mit "klassischen" aber hast du mal überprüft ob du die nötigen Stammzertifikate im System verankert hast? Wenn der Fehler nicht da liegt, hast du vielleicht mal ein Log aus dem hervorgeht was genau er bemängelt. Grüße Björn ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] Letsencrypt Zertifikat für ldap einrichten
Hallo an alle, ich habe in den letzten Wochen einige Tests mit letsencrypt gemacht und die automatische Erneuerung per cronjob klappt gut. Der Apache in meinem linuxmusternet Server und meiner Owncloud sind schon auf die Zertifikate umgestellt. Jetzt möchte ich gerne die Zertifikate auch für meinen ldap benutzen, damit die Authentifizierung gegen Webuntis klappt; die akzeptieren keine selfsigned Certificates. In der /etc/ldap/slapd.conf kann ich die Pfade zum Zertifikat angeben; das sieht in der Werkseinstellung dann so aus: TLSCACertificateFile /etc/ssl/private/server.pem TLSCertificateFile /etc/ssl/private/server.pem TLSCertificateKeyFile /etc/ssl/private/server.pem ...ich habe das Problem, das bei letsencrypt nicht ein sondern einige "Zertifikatsvarianten" erzeugt werden...http://letsencrypt.readthedocs.org/en/latest/using.html#where-are-my-certificates ...es gibt also private.pem, cert.pem, chain.pem und fullchain.pem. Frage also: wie muss ich da was in der slapd.conf angeben...ich habe viel versucht und vieles nachgelesen aber ich bin wohl zu kleingeistig um das selber hinzubekommen ;-)...mit keiner Variante, die ich bisher versucht habe startet mein ldap noch!? ...bin für jeden Tipp dankbar! Nur der Vollständigkeit halber...muss ich außer den Pfaden zum Zertifikat noch etwas am ldap umstellen, damit alles klappt?! Vielen Dank schonmal! Dominik -- Windeck-Gymnasium Bühl (Netzwerkbetreuung) Dominik Förderer Humboldtstr. 3 77815 Bühl Tel.: 07223/940956 Web.: http://www.windeck-gymnasium.de ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user