【转载】FreeIPA中间CA证书已过期
转载自https://www.kutu66.com//hulianwang/article_188064
问题:
我们有2个FreeIPA服务器在网络中运行,今天我们发现:https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020
中间CA已过期,我们无法连接到LDAP。
日志中有以下错误:
ipa: INFO: 401 Unauthorized: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:618)[:error] [pid 2041] SSL Library Error: -12269 The server has rejected your certificate as expired
检查CA链时,我们得到:
# openssl s_client -showcerts -verify 5 -connect ldap.example.com:443verify depth is 5CONNECTED(00000003)depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Rootverify error:num=10:certificate has expirednotAfter=May 30 10:48:38 2020 GMTverify return:1depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA RootnotAfter=May 30 10:48:38 2020 GMTverify return:1depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authorityverify error:num=10:certificate has expirednotAfter=May 30 10:48:38 2020 GMTverify return:1depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification AuthoritynotAfter=May 30 10:48:38 2020 GMTverify return:1depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CAnotAfter=Dec 31 23:59:59 2030 GMTverify return:1depth=0 OU = Domain Control Validated, OU = EssentialSSL Wildcard, CN = *.example.comnotAfter=Sep 16 23:59:59 2021 GMTverify return:1
我如何删除或更新那些已过期的CA?
答案1:
以下是更新CA的方法
1)我建议在之前完整备份LDAP
2)将日期更改为2020年5月30日之前的日期
date -s"Fri May 29 12:05:19 EDT 2020"
3)在NSS DB中查找旧证书(IPA CA除外)'
$ ipa-cacert-manage list | grep -v 'IPA CA'OLDCAOLD-Intermediate-1
4)从所有NSS DB中删除旧证书
$ cat dblist.txt/etc/ipa/nssdb /etc/pki/pki-tomcat/alias/etc/httpd/alias/etc/dirsrv/slapd-EXAMPLE-COM (Replace EXAMPLE-COM with your realm)/etc/httpd/alias$ for DB in `cat dblist.txt`; do /usr/bin/certutil -d $DB -D -n OLDCA; done$ for DB in `cat dblist.txt`; do /usr/bin/certutil -d $DB -D -n OLD-Intermediate-1; done
5)找到基础dn
$ cat /etc/ipa/default.conf | grep basednbasedn = dc=example,dc=com
6)从LDAP中找到IPA CA以外的旧证书,并从步骤5的基础中替换'dc = example,dc = com '
$ ldapsearch -h localhost -p 389 -D cn=directory manager -W -b cn=certificates,cn=ipa,cn=etc,dc=example,dc=com | grep ^dn: | grep -v 'IPA CA'dn: cn=OLDCA,cn=certificates,cn=ipa,cn=etc,dc=example,dc=comdn: cn=OLD-Intermediate-1,cn=certificates,cn=ipa,cn=etc,dc=example,dc=com
7)删除IPA CA以外的旧LDAP证书
$ ldapdelete -h localhost -p 389 -D cn=directory manager -W"cn=OLDCA,cn=certificates,cn=ipa,cn=etc,dc=example,dc=com"$ ldapdelete -h localhost -p 389 -D cn=directory manager -W"cn=OLD-Intermediate-1,cn=certificates,cn=ipa,cn=etc,dc=example,dc=com"
8)找到新的可工作的链,在例子中,它是从这里获取:https://support.sectigo.com/articles/Knowledge/Sectigo-Intermediate-Certificates?retURL=/apex/Com_KnowledgeWeb2Casepagesectigo&popup=false
[Download] SHA-2 Root : USERTrust RSA Certification Authority[Download] Sectigo RSA Domain Validation Secure Server CA [ Intermediate ]
9)安装新的证书
$ echo"passw0rd" | kinit admin$ ipa-cacert-manage -p"passw0rd" -n NEWCA -t C,, install NEWCA.crt$ ipa-cacert-manage -p"passw0rd" -n NEW-Intermediate -t C,, install NEW-Intermediate.crt$ ipa-certupdate$ ipa-server-certinstall -w -d star.example.com.key star.example.com.crt --pin="passw0rd" --dirman-password="passw0rd" $ ipa-cacert-manage listEXAMPLE.COM IPA CANEWCANEW-IntermediateThe ipa-cacert-manage command was successful
10 )更新日期并重新启动
答案2:
我修复了这个问题:
抓取更新的证书:https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000rfBO
ipa-cacert-manage -p xxxxxxxx -t C,, install SHA-2 Root USERTrust RSA Certification Authority.crt
ipa-cacert-manage -p xxxxxxxx -t C,, install SectigoRSADomainValidationSecureServerCA.crt
设置你的日期:
date -s "29 may 2020"
kinit admin
ipa-certupdate
【转载】FreeIPA中间CA证书已过期相关推荐
- java证书已过期如何继续运行_过期证书上的Java trustmanager行为
如果证书已过期,java的TrustManager实现是否会被忽略? 我尝试了以下方法: – 使用keytool和参数-startdate"1970/01/01 00:00:00" ...
- 网络安全证书已过期或不可信怎么办
网络安全证书已过期或不可信怎么办?下面就带大家了解一下: 网络安全证书是一个判断站点是否正规的凭证,出现网站安全证书己过期或不可信问题一般都是电脑系统时间比浏览器时间快所致. 如果打开网页时提示安全证 ...
- 华为存储OceanStor 5110V5 CA证书即将过期告警处理
故障现象: 华为存储OceanStor 5110V5,告警灯亮红色,如下图: 故障分析: 登录存储管理平台,发现有告警如下: 根据提示,很明显,CA证书即将过期,需要更新证书. 故障处理: 从华为官网 ...
- php 微信支付证书,微信支付后台进行退款操作时提示证书已过期处理(PHP)
之前没做过退款操作,因为业务没有涉及到,并且退款比支付流程还要复杂.没有特别要求是不会去搞的. 但小程序平台是已经接好了微信退款操作,这个时候报错就得处理一下了. [notice]只有退款的时候才需要 ...
- 受微软信任的交叉证书已过期,如何再给内核驱动数字签名
根据微软最新消息,受微软信任的第三方内核模式代码签名交叉证书已于2021年4月15日全部到期.至此以后,微软将成为Windows内核驱动代码签名的唯一提供商. 如下图所示,Digicert,Entru ...
- Eclipse Android插件中的“调试证书已过期”错误
我正在使用Eclipse Android插件来构建项目,但是在控制台窗口中出现此错误: [2010-02-03 10:31:14 - androidVNC]Error generating final ...
- 微信提现报证书已过期
项目场景: java对接微信提现,已经做好的东西,但是在一年之后的某一天体现发现报体现失败,但是充值依旧可以使用. 问题描述: 原因分析: apiclient_cert.pem 这个证书过期的缘故,登 ...
- 服务器证书已过期,WebSphere应用服务器证书过期问题解决
[IT168信息化]在IBM WebSphere应用服务器(WebSphere Application Server)的运行环境中,有时会出现证书过期(certificate expire)的错误.发 ...
- https网站安全证书提示已过期怎么办?
随着网络信息安全的重要性愈演愈烈,https加密的网站也越来越多,但有时候访问某些https网站的时候,偶尔会遇到浏览器提示"此网站的安全证书有问题"以及"此网站出具的安 ...
最新文章
- 系统管理员在企业中的职业定位及发展方向 连载(二)
- unity工程包怎么上传git_如何将Git用于Unity3D源代码管理?
- 《BREW进阶与精通——3G移动增值业务的运营、定制与开发》连载之31---LBS基于BREW的位置服务...
- sys.argv[] 的使用详解
- 免费开通二级域名的论坛
- 从图片搜索到人脸识别,CV正在成为“互动营销”领域的【硬核技术】
- OpenLayers项目分析——(一)项目介绍
- 几天后自动领取java怎么做的_学了14天,终于把Java项目一做完啦
- C#中的文件操作 (一)
- C++之继承探究(八):动态绑定
- pytorch版本问题:AttributeError: 'module' object has no attribute '_rebuild_tensor_v2'
- 用c语言将学生系统插入音效,增加音效.cpp
- [数据可视化] 南丁格尔玫瑰图
- 2020十大高薪岗位出炉,程序员霸榜
- MySQL基于位置的恢复
- MSE(L2损失)与MAE(L1损失)的分析
- [Usaco2010Hol]Dotp
- STM32F103C8T6引脚笔记
- 毛桃pe系统 linux,老毛桃U盘PE重装教程
- LaTex 写作中的细节记录与处理方法——IEEE 模板