ldap.uio.no bytter sertifikat og CA-sertifikat

Tjenester som bruker LDAP med TLS kan trenge å installere CA-sertifikatet.  De fleste trenger ikke, siden kjente rotsertifikater gjerne er installert allerede.

Veldig gamle OpenLDAP/OpenSSL-pakker i Store (/local) på RHEL5 takler ikke de nye sertifikatene.  Noen pakker vil fjernes.  Se under.

Uansett, hvis sertifikatene ikke virker som de er, så man trenger å installere det nye:

Det nye CA-sertifikatet (DigiCertCA.crt) er vedlagt i PEM-format og kan installeres om nødvendig, *etter* å ha sjekket at det er gyldig. Sjekkes slik:

Linux:   openssl verify DigiCertCA.crt
Windows: certutil -f -urlfetch -verify C:\temp\DigiCertCA.crt

CA-sertifikatet heter "C=NL, ST=Noord-Holland, L=Amsterdam, O=TERENA, CN=TERENA SSL CA 3" og er vedlagt.  Det kan sjekkes mot rot-sertifikatet "C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA" som forhåpentligvis er installert allerede.

Meldinger om sertifikat-bytte og annet sendes i forkant til ldap-varsel@usit.uio.no, som hvem som helst kan melde seg på.  For å gi en tjeneste beskjed er det lurt å melde på dens mailingliste i stedet for personer.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Gamle OpenLDAP/OpenSSL-pakker i Store (/local) @ RHEL5:

Programmer som bruker veldig gamle OpenSSL-versjoner takler ikke de nye sertifikatene. Det gjaldt bl.a. pakken "openldap-2.3" i Store (/local/) på RHEL 5, som nå er tømt.  Pakkene "openldap" og "openldap-compat" vil kanskje lide samme skjebne.

Oppgrader til RHEL 7 eller 6 (RHEL 5 ved UiO legges snart ned), eller bruk OpenLDAP-versjonen /usr i stedet, eller pakke "openldap-2.4" fra Store (/local), eller kontakt katalog-drift@usit.uio.no hvis ingen av delene er aktuelt.

Publisert 8. mars 2016 13:23 - Sist endret 10. mars 2016 14:17