Eigene CA verwenden / Use own CA

UCS - Univention Corporate Server
#1

Hallo!

Ich möchte meine eigene CA in meinem UCS verwenden.
Ich habe ein CA / Intermediate / UCS-Server.cert erzeugt und nach /etc/ssl… kopiert. Im UCR habe ich die Einträge für Apache CA, Cert, Key und force_https angepasst. Das funktioniert soweit.

In meinem Freenas habe ich ebenfalls CA usw hinterlegt, das Frontend antwortet mit https und meinem Zertifikat.
LDAP ist eingerichtet, die Credentials scheinen zu stimmen (nach vielen Versuchen :slight_smile:
Allerdings bringt Freenas nun

May 23 16:20:42 freenas sssd[be[UCS-LDAP]]: Could not start TLS encryption. error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate)

Ich vermute man muss SLAPD sagen, dass er mein Zertifikat für den UCS verwenden soll. Aber wie?

Create intermediate CA with Univention Root CA
#2

Im UCS habe ich unter /etc/univention/ssl/[Server] das Zertifikat der UCS-CA gegen mein eigenes getauscht - vorher natürlich das alte gesichert.
Mein CA-cert + intermediate liegen als chained-cert unter /usr/local/share/ca-certificates mit anschliessendem update-ca-certificates

Im Freenas hatte ich meine Ca und das Intermediate getrennt hinterlegt. Das ist nun ein Chained-Cert.
Damit ist der Fehler weg.

Vielleicht hilfts mal jmd.

Ich würde den Text auch gern auf englisch bereit stellen, allerdings hätte ich gern ein Rückmeldung, dass mein Vorgehen soweit ok war. Danke.

1 Like
Mastodon