|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
欢迎大家来到仓酷云论坛!很多Linux办事器都利用TLS证书,可是它们的事情体例不尽不异。
证书成绩不老是简单发明,假定你想要上岸一台LDAP办事器,在没有关照任何毛病的情形下毗连超时。大概你会以为这是用户账户出了成绩,但经常与证书相干。Linux***在利用分歧体例安排TLS证书方面很头疼。欠好的证书会激发成绩,办理成绩取决于基本原因。
起首,反省日记文件往剖析成绩。你也必要利用像tcpdump的工具来反省是哪一个毗连端口激发的收集堵塞。很多协定都有一个宁静和非宁静端口,tcpdump能够匡助你辨认。
一旦你断定了成绩在于证书,定位办事器利用的详细文件,该文件中老是包括三个组件:公钥证书、私钥和证书受权(CA)密钥文件。
每个办事都有详细的设置文件用来寻觅这些日记文件。比方,ApacheWebServer,你的Linux散布式办事器大概利用名为mod_ssl.conf的设置文件,个中包括以下代码行:
SSLCertificateFile/etc/pki/tls/certs/myserver.crt
SSLCertificateKeyFile/etc/pki/tls/private/myserver.key
一样平常的,文件后缀为.crt的是办事器证书文件。个中包括CA署名公钥。.key文件中包括办事器身份的私钥。在做别的事变之前,你必要确保办事器文件存在于你希冀可以找到的设置文件傍边。
.crt文件的一个广泛的成绩是利用了未知的CA。由证书受权的公钥证书,包管了文件的牢靠性和完全性。客户已晓得CA必要作为内部办事器。***一般会天生本人界说的公钥/私钥对。这就像是在扣问“谁能包管你是真实的SandervanVugt?”“我是SandervanVugt,既然我如许说了,以是你能够信任我。”这类体例其实不怎样便利,是吗?
在一些办事中,寻觅自署名证书的相干毛病很简单。人们利用自署名证书毗连到收集办事器;办事器给出一个明文;然后终端用户能够轻松的加入。
其他的办事毛病不会云云分明。一个LDAP客户取得一个非受信的证书将会毗连失利,寻觅成绩的缘故原由的体例是细心剖析日记文件找到提醒与CA相干毛病。假如找到了,找到办事器存储CA证书的文件夹。确信你找到了必要的CA证书,然后复制它掩盖到本来的地位。再试一次,它就会失效了。
另外一个广泛的与TLS证书相干的毛病,产生在证书的名字和毗连的另外一端方针终端不婚配时。假定你关照了LDAP客户毗连到LDAP办事器hnl.example.com。为了确保失效,证书必要有一个主落款hnl.example.com。假如没有主落款,毗连将会失利。一旦你晓得了证书的存储地址,一样平常在办事器/etc/pki/tls/certs文件下。假如你想利用它,你可使用openssl下令取得主落款:opensslx509-text<myserver.crt|grepSubject。假如名字不符,你必要改动客户端毗连办事器的体例。
因为证书过时也会呈现毗连失利。利用opensslx509-text<myserver.crt下令,体系将会告知你证书刻日。***必要在证书到期日之前创立新的证书。
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们! |
|