Пытаюсь создать CA сертификат и им подписать другой сертификат,
чтобы использовать его для LDAP сервера.
# Здесь создаю CA
openssl genrsa -des3 -out very_security/ca.key 2048
openssl req -new -x509 -days 1825 -key very_security/ca.key -out certs/ca.cert
# Создаю сертификат для LDAP и пытаюсь его подписать ca.cert'ом
openssl genrsa -out private/slapd.key 1024
openssl req -new -key private/slapd.key -out tmp/slapd.csr
openssl x509 -req -days 1095 -in tmp/slapd.csr -out private/slapd.cert -CA certs/ca.cert -CAkey very_security/ca.key -CAcreateserial
# Делаю PEM
mv private/slapd.key private/slapd.pem
cat private/slapd.cert >> private/slapd.pem
Ввожу пароль, всё создаётся. Пытаюсь проверить сертификат:
[root@ldap_pdc openssl]# openssl verify -CAfile certs/ca.cert private/slapd.pem
private/slapd.pem: /C=ru/ST=Russia/L=G/O=ymg/OU=ldap/CN=ldap.ymgeo.ru
error 18 at 0 depth lookup:self signed certificate
/C=ru/ST=Russia/L=G/O=ymg/OU=ldap/CN=ldap.ymgeo.ru
error 7 at 0 depth lookup:certificate signature failure
Как правильно создать сертификат и подписать его, чтобы у меня
не возникали эти ошибки??
Если я делаю так:
openssl req -new -x509 -days 365 -nodes -out private/slapd.pem -keyout private/slapd.pem
то получаю:
[root@ldap_pdc private]# openssl verify slapd.pem
slapd.pem: /C=RU/ST=Russia/L=Gelendzhik/O=ymgeo/OU=LDAP/CN=LDAP.ymgeo.ru/Email=admin@ymgeo.
ru
error 18 at 0 depth lookup:self signed certificate
OK
То есть ОК всё же показывает. Объясните, плиз. Уже несколько доков
прочитал, но всё равно до конца не понимаю.
Да я уже смотрел её, пробовал, как там. Не получается :(
Я уж и тот скрипт попробовал для создания клиентских сертификатов.
Одно и то же:
[root@ldap_pdc out]# openssl verify ldap.pem
ldap.pem: /C=ru/ST=Russia/L=G/O=ymg/OU=ldap/CN=ldap
error 18 at 0 depth lookup:self signed certificate
/C=ru/ST=Russia/L=G/O=ymg/OU=ldap/CN=ldap
error 7 at 0 depth lookup:certificate signature failure
Не знаю, в чём причина
Данные в CA и в создаваемый сертификат ввожу одни и те же.
мне, честно говоря, некогда смотреть самому, но тогда может эта дока будет
более полезной:
http://www.openbsd.org/cgi-bin/man.cgi?query=ssl&sektion=8
там раздел есть GENERATING RSA SERVER CERTIFICATES FOR WEB SERVERS.
может навет на мысль какую-нибудь....
> Насколько помню, в этом может быть проблема. Введи разные данные и посмотри что получится.
Спасибо большое! Ввёл разные данные, и всё стало на свои места!