public:ssl:trusted_certs_config

各内部系统连接 ldaps 而导入可信根证书的操作步骤

由于使用了自签署证书,如果系统间连接需要使用 ssl ,难免会产生证书是否可信的问题。内部系统中主要是使用了 ldaps 进行账号验证,因此需要指明可信根证书的位置。

dokuwiki 属于 php 应用,连接 ldap 主要使用了 php 的 adLDAP 扩展。

该扩展没有自己的配置文件,大部分配置信息通过参数传入。 而证书的配置未在参数中。

经过查询,其使用了系统 ldap 的相关配置进行 ldap 连接。 因此可以修改文件 /etc/ldap/ldap.conf ,达到为 php 应用设置可信证书的目的

sudo vi /etc/ldap/ldap.conf
 
#修改该文件里的如下内容,使其指向自己的根证书:
TLS_CACERT	/etc/ssl/certs/my_ca.crt

jira 主要使用了 java 进行编写,因此可信证书的导入需要用到 keytool 工具。用法介绍: JAVA 导入信任证书 (Keytool 的使用)

jira 的 keystore 文件路径为:

/opt/atlassian/jira/jre/lib/security/cacerts

gitlab 高度集成,通过单一配置文件完成大量工作。

经过摸索,发现可直接把证书文件放到 /etc/gitlab/trusted-certs/ 目录中,然后执行

sudo gitlab-ctl reconfigure

更新配置,系统会自动识别证书文件,并创建链接到 /opt/gitlab/embedded/ssl/certs/ 目录中。

参考: https://docs.gitlab.com/omnibus/settings/ssl.html

验证 ldap 是否可用,可以使用以下命令进行检查:

sudo gitlab-rake gitlab:ldap:check
sudo cp ./MY_CA.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
  • 最后更改: 2019/11/04 14:56
  • 由 Jinkin Liu