В связи с от мелкософта встал вопрос о настройке LDAPS.
Все пользователи в коробочном битриксе импортируются из Active Directory. Т.е. битрикс ничего не знает о паролях пользователя, и поэтому проксирует запросы авторизации на контроллер домена в данный момент по протоколу LDAP. Верно?
Соответственно чтобы перевести это всё дело с LDAP, где логины и пароли ходят в открытом виде, на LDAPS, если я правильно всё понимаю, нужно:
1. На BitrixVM сгенерировать запрос на выдачу сертификата. Это я сделал, вот так:
В результате получаем bitrixrequest.csr (запрос в центре сертификации который нужно далее подписать) и bitrixprivate.key (приватный ключ).
2. Загрузить в центр сертификации запрос (bitrixrequest.csr) и подписать его. На выходе я получил возможность скачать два файла - srv-bitrix.01.cer (сертификат выданный из центром на конкретный хостнейм) и srv-bitrix-01-chain.p7b - насколько я понимаю это контейнер с двумя сертификатами внутри - центр сертификации + тот хостнейм на который был запрос). Не знаю какой именно нужен, подозреваю что оба, потому скачал оба.
3. Оба файла закинул в папку /etc/ssl/certs/ в папку srv-bitrix-01
4. И вот тут я споткнулся. Дальше вроде как мне нужно импортировать либо отдельно srv-bitrix.01.cer + сертификат выдающего центра ЛИБО цепочку сертификатов srv-bitrix-01-chain.p7b. Но я не знаю какой из двух вариантов и как (просто положить файл в папку то явно не достаточно). К тому же не понятно на каком этапе (и нужно ли вообще) использовать приватный ключ. И при всем при этом, вроде как, линухи не особо дружат с "виндовым" форматом *.p7b, и нужно конвертировать в *.pem?
Подскажите как всё это сделать? И какие дальнейшие шаги настройки BitrixVM для работы по LDAPS, если что-то ещё нужно сделать?
Все пользователи в коробочном битриксе импортируются из Active Directory. Т.е. битрикс ничего не знает о паролях пользователя, и поэтому проксирует запросы авторизации на контроллер домена в данный момент по протоколу LDAP. Верно?
Соответственно чтобы перевести это всё дело с LDAP, где логины и пароли ходят в открытом виде, на LDAPS, если я правильно всё понимаю, нужно:
1. На BitrixVM сгенерировать запрос на выдачу сертификата. Это я сделал, вот так:
Скрытый текст | ||||
|---|---|---|---|---|
Где содержимое opensslconf.cnf:
|
В результате получаем bitrixrequest.csr (запрос в центре сертификации который нужно далее подписать) и bitrixprivate.key (приватный ключ).
2. Загрузить в центр сертификации запрос (bitrixrequest.csr) и подписать его. На выходе я получил возможность скачать два файла - srv-bitrix.01.cer (сертификат выданный из центром на конкретный хостнейм) и srv-bitrix-01-chain.p7b - насколько я понимаю это контейнер с двумя сертификатами внутри - центр сертификации + тот хостнейм на который был запрос). Не знаю какой именно нужен, подозреваю что оба, потому скачал оба.
3. Оба файла закинул в папку /etc/ssl/certs/ в папку srv-bitrix-01
4. И вот тут я споткнулся. Дальше вроде как мне нужно импортировать либо отдельно srv-bitrix.01.cer + сертификат выдающего центра ЛИБО цепочку сертификатов srv-bitrix-01-chain.p7b. Но я не знаю какой из двух вариантов и как (просто положить файл в папку то явно не достаточно). К тому же не понятно на каком этапе (и нужно ли вообще) использовать приватный ключ. И при всем при этом, вроде как, линухи не особо дружат с "виндовым" форматом *.p7b, и нужно конвертировать в *.pem?
Подскажите как всё это сделать? И какие дальнейшие шаги настройки BitrixVM для работы по LDAPS, если что-то ещё нужно сделать?
