php openldap支持ssl,基于OpenLDAP服务端和客户端的SSL/TLS的配置方法

最新推荐文章于 2021-11-30 18:07:52 发布
最新推荐文章于 2021-11-30 18:07:52 发布
阅读量279 收藏
点赞数
文章标签: php openldap支持ssl

OpenLDAP 是最常用的目录服务之一,它是一个由开源社区及志愿者开发和管理的一个开源项目,提供了目录服务的所有功能,包括目录搜索、身份认证、安全通道、过滤器等等。大多数的 Linux 发行版里面都带有 OpenLDAP 的安装包。OpenLDAP 服务默认使用非加密的 TCP/IP 协议来接收服务的请求,并将查询结果传回到客户端。由于大多数目录服务都是用于系统的安全认证部分比如:用户登录和身份验证,所以它也支持使用基于 SSL/TLS 的加密协议来保证数据传送的保密性和完整性。OpenLDAP 是使用 OpenSSL 来实现 SSL/TLS 加密通信的。

OpenSSL 是 SSL/TLS 加密算法及通信协议的开源实现包,实现了 SSLv2、SSLv3、TLSv1 及 TLSv1.2 的加密算法和通信协议,并提供 API 给第三方应用。第三方应用可以很容易的使用 OpenSSL 来将明文通信加密。OpenLDAP 和 OpenSSL 的互相配合是本文的主要内容,包括:OpenLDAP 服务端的 SSL/TLS 配置、OpenLDAP 客户端的 SSL/TLS 配置。

本文讲述的所有内容和命令适用于 Redhat Enterprise Linux 6.3,其他发行版本的 Linux 可能略有不同。

配置 OpenLDAP 使用 SSL/TLS 加密数据通信

SSL/TLS 加密原理简介

SSL/TLS 是基于 PKI 机制的加密方式,包括证书认证、密钥交换、非对称加密、对称加密。SSL/TLS 采用 CA 作为服务端和客户端都信赖的具有权威性的组织,证书的颁发和认证都依赖于 CA,并假定 CA 颁发的证书是可靠的、可信赖的,证书里面的内容是真实的、有效的,并可用于客户机和服务器进行安全的可靠的通信加密。

SSL/TLS 证书用来认证服务器和客户机双方的身份,并用于密钥交换时候的非对称加密。密钥交换完毕之后,就可以用这个密钥做通信数据的对称加密了,具体的加密算法是由客户机和服务器互相协商得来。服务器和客户机由于 SSL/TLS 库的不同以及用户的配置不同,双方支持的算法列表不完全相同,当双方做 SSL/TLS 握手的时候,就需要将自己支持的算法列表及优先顺序告知对方,一旦对方按照优先顺序找到了第一个支持的算法,那么协商完成,否则双方协商失败,SSL/TLS 连接断开。

如何配置 OpenLDAP 客户端和服务端的算法列表将在本文的后续内容中做重点介绍,用户可以通过控制这个列表来提高安全等级,或者降低安全等级来适应更多的算法。

OpenSSL 常用命令

OpenSSL 提供了为数众多的命令来帮助用户使用和查看 SSL/TLS 加密算法、查看证书、生成证书、测试 SSL/TLS 连接等等,以下是一些常用命令的介绍。

查看 OpenSSL 支持的所有算法

#openssl ciphers

查看 OpenSSL 是否支持某个算法,如 ECDH-ECDSA-AES128-GCM-SHA256

# openssl ciphers ECDH-ECDSA-AES128-GCM-SHA256

查看 OpenSSL 是否支持某个协议,如 TLSv1.2

# openssl ciphers TLSv1.2

查看 x509 证书

# openssl x509 -in cert.pem -text –noout

检测与 LDAP server 的连接

# openssl s_client -connect 9.181.137.155:636 -showcerts -state -CAfile /opt/ibm/director/vmi/data/sec/vmitruststore.pem

生成自签名的 CA 证书

#openssl req -x509 -newkey rsa:1024 -passout pass:123456 -days 3650 -keyout whhit.pem.key -out whhit.pem.cer -subj '/CN=whhit.me/OU=WeRun Club/O=whhit/L=Weihai/S=Shandong/C=CN'

生成私钥

#openssl genrsa -des3 -out whhit.pem.key -passout pass:123456 1024

使用指定的私钥生成一个 CSR (Certificate Signing Request)

#openssl req -new -key whhit.pem.key -passin pass:123456 -out whhit.pem.csr -subj '/CN=whhit.me/OU=WeRun Club/O=whhit/L=Weihai/S=Shandong/C=CN'

将加密的私钥导出为明文的私钥

#openssl rsa -in whhit.pem.key -passin pass:123456 -out whhit.pem.clear.key

使用指定的私钥签名生成证书

#openssl x509 -req -days 3650 -in whhit.pem.csr -signkey whhit.pem.clear.key -out whhit.pem.cer

将私钥和证书转化为 PKCS#12 格式的单个文件

#openssl pkcs12 -export -in whhit.pem.cer -inkey whhit.pem.key -passin pass:123456 -out whhit.p12 -passout pass:123456 -name tomcat

weixin_39732018
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ldap服务器与客户端配置TLS SSL认证,以及phpldapadmin配置https认证
weixin_45103766的博客
03-11 2789
ldap服务器与客户端配置TLS SSL认证 ldap监听389/tcp端口 ldaps监听636/tcp端口 创建CA证书 yum -y install openssl cd /etc/pki/CA ls private/ openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650 -subj “/C=CN/S...
php ssl tls_php-SSL / TLS保护需要openssl扩展
weixin_30802367的博客
03-09 418
php-SSL / TLS保护需要openssl扩展composer create-project flarum/flarum . --stability=beta我尝试运行此命令,但它给了我这个错误。[RuntimeException]The openssl extension is required for SSL/TLS protection but is not available. If...
code__openLdapTlsOpenldap配置TLS加密传输(完整版——shell脚本实现[分别在客户端与服务器端执行脚本,实现TLS加密])
07-05
客户端 注意事项: 脚本必须放在/root/workspace/clildapTls目录下: 需要已经配置好的以下文件: CA.crt CA.key clildapTls.sh index.txt openssl.cnf serial 服务器端 注意事项: 脚本必须放在/root/workspace/serldapTls目录下: 需要已经配置好的以下文件: CA.crt ldapsrv02.crt ldapsrv02.key
ldap 数据库
weixin_34038652的博客
08-18 259
原文地址:  http://www.linuxfly.org/post/569/     好久以前曾写过[原]LDAP服务介绍一文,其中介绍了LDAP服务的基本情况。最近,因项目原因,需要对某个ldap 数据库进行修改和迁移的工作,目前已基本完成。特此机会,把在bash和php 中操作ldap 的注意事项简单总结一下。一、基础知识首先,如果您对LDAP 不认识,建议先看看[原]LDAP服务介绍...
php openldap支持ssl,openldap (2) 配置SSL/TLS加密通信!
weixin_29967445的博客
03-22 363
知乎连接:https://zhuanlan.zhihu.com/p/256918641,ldap服务器自制签名&证书ldap服务器安装ldap:yum install -y openldap openldap-servers openldap-clients migrationtools openssl#cd /etc/openldap/certs/# openssl genrsa -ou...
php ldap 修改密,使用php修改openldap中用户密
weixin_33952612的博客
03-17 413
使用php修改openldap中用户密在安装使用、openldap的过程中踩过很多坑,有的是自己没理解明白,有的是别人表述不明确,此次就从安装开始,简单权限设置、以及双主,后面包括与confluence、jira,gitlab的关联~一、安装openldap此前编译安装过,踩过不少坑,最后还是选择用yum安装来的方便。`yum install openldap openldap-servers ...
openldap
识途老码
09-01 1545
openldap安装openldap服务器生成密钥文件写入一条主机与IP地址的解析记录用openssl生成证书--公钥和私钥ldapaddldapmodify openldap用来搭建中心认证服务器 新建一个账号,可以在所有关联业务服务器上登陆 ou: 单位(部门)名称 cn: 名字 安装openldap服务器 yum install -y openldap openldap-clients openldap-servers migrationtools ## openldap 主程序 ##
Openldap配置TLS加密传输
10-31
1. **证书认证**:SSL/TLS 采用 CA 作为服务端客户端都信赖的权威组织。证书的颁发和认证都依赖于 CA,并假定 CA 颁发的证书是可靠的、可信赖的。 2. **密钥交换**:SSL/TLS 证书用来认证服务器和客户机双方的身份...
ldap服务端+客户端 配套软件
11-17
综上所述,这个压缩包提供了一个完整的LDAP环境,包括服务端软件OpenLDAP和两个客户端工具,适合IT管理员进行目录服务的部署、管理和调试。同时,附带的JDK使得基于Java的开发和扩展成为可能,确保了在Windows 10...
java通过ssl连接LDAP服务器(包括LDAP服务器搭建、openssl数字证书生成openldap服务器配置启动)
热门推荐
chenyatang的博客
06-15 1万+
LDAP服务器搭建、openssl证书生成openldap服务器配置启动,java使用ssl连接到LDAP服务器
Linux统一登录认证之 --- 客户端配置
三个诸葛亮的博客
11-30 547
本文主要介绍如何通过使用OpenLDAP进行Linux的登录验证
Ubuntu10.04安装配置LDAP服务器与客户端
Pc620的专栏
05-30 4490
注:以Ubuntu 10.04版本为例,LDAP服务器和客户端为同一台机器,最新openldap软件服务器端无单独的配置文件,而是将配置信息保存于数据库中。 1. LDAP服务器端安装与配置 1.1 安装LDAP服务器相关软件 sudo apt-get install slapd ldap-utils 1.2 配置LDAP服务器数据库 sudo ldapadd
ldap over ssl php,在本地xampp / apache服务器上设置SSL
weixin_29322553的博客
03-28 172
小编典典有一个配置文件xampp / apache / conf / extra / httpd-ssl.conf,其中包含所有ssl特定的配置。该文档已被很好地记录下来,因此请阅读注释并查看http://httpd.apache.org/docs/2.2/ssl/。这些文件以开头ssl_module>,因此只有在使用mod_ssl模块启动apache的情况下它才有效。在编辑器中打开文件xa...
php普通用户修改,LINUX教程:OpenLDAP安装及设置普通用户修改自己密
weixin_34138585的博客
03-11 176
《LINUX教程:OpenLDAP安装及设置普通用户修改自己密》要点:本文介绍了LINUX教程:OpenLDAP安装及设置普通用户修改自己密,希望对您有用。如果有疑问,可以联系我们。前言:在安装使用、openldap的过程中踩过很多坑,有的是自己没理解明白,有的是别人表述不明确,此次就从安装开始,简单权限设置、以及双主,后面包含与confluence、jira,gitlab的关联~一、安装op...
转-配置openldap使用SSL连接
cmxrfkk088307的博客
07-14 161
转-配置openldap使用SSL连接 http://bbs.chinaunix.net/thread-1032785-1-1.html写的很不错,转一下,[@more@]假设openldap服务器已经配置好,可以正常工作。下面...
ldap php,PHP-LDAP 学习笔记
weixin_42299728的博客
03-10 274
resource ldap_connect ([ string $hostname = NULL [, int $port = 389 ]] )使用指定的主机名($hostname)和端口($port)连接到LDAP服务器。$hostname主机名,如果服务器端是 OpenLDAP 2.x.x 或更高版本,那么还可以使用 ldap://hostname/ 格式(URL格式)。要使用SSL连接,那么...
在debian上openLDAP启用SSL连接
Jackwolfskin888的博客
10-08 1082
原文链接 参考了Ubuntu上的操作 https://www.digitalocean.com/community/tutorials/how-to-encrypt-openldap-connections-using-starttls Introduction OpenLDAP provides an LDAP directory service that is flexible and we...
OpenLdap配置ssl连接
czj4451的专栏
03-29 557
为了敏感数据(如账户信息等)在传输过程中不轻易暴露,用SSL连接是必须的。在安装完openldap后,可以首先生成一些key和certificate文件,然后配置ldap的SSL服务端。 工具:Linux平台下的openssl - 用于生成SSL需要的签名验证 Winscp - 用于Windows访问在Linux里生成好的的文件 [size=x-large]1. 生成证书和...
[转]windos 和 linux 下实现PHP和LDAP身份认证
Dont_Know的学习笔记
01-06 1067
<br />我现在的老板曾要求我为企业内部互联网的Web服务提供一种标准的身份验证方法。我遇到的一个主要问题就是我们公司主要使用了两种平台:UNIX和Windows。所以,我的第一个想法并不很成功:它要求每个员工都使用UNIX或者Linux而放弃Windows。<br /><br />我认为解决现在的UNIX/Windows问题的最好方法就是利用PHP的LDAP特性。由于LDAP服务器,要求我使用现有的系统,主要指的是一个巨大的Microsoft Exchange Server系统。我非常高兴使用Excha
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值