CentOS伺服器TLS認證故障解決方案

CentOS伺服器TLS認證故障解決方案

許多Linux伺服器都使用TLS認證，但是它們的工作方式不盡相同。

認證問題不總是容易發現，假設你想要登陸一台LDAP伺服器，在沒有通知任何錯誤的情況下連線逾時。也許你會認為這是使用者賬戶出了問題，但常常與認證相關。Linux管理員在使用不同方式部署TLS認證方面很頭疼。不好的認證會引發問題，解決問題取決於根本起因。

首先，檢查記錄檔去分析問題。你也需要使用像tcpdump的工具來檢查是哪個串連連接埠引發的網路擁塞。許多協議都有一個安全和非安全連接埠，tcpdump可以協助你識別。

一旦你確定了問題在於認證，定位服務器使用的具體檔案，該檔案中總是包含三個組件：密鑰憑證、私密金鑰和認證授權（CA）密鑰檔案。

每一個服務都有具體的設定檔用來尋找這些記錄檔。例如，Apache Web Server，你的Linux分布式伺服器可能使用名為mod_ssl.conf的設定檔，其中包含以下程式碼：

SSLCertificateFile /etc/pki/tls/certs/myserver.crt

SSLCertificateKeyFile /etc/pki/tls/private/myserver.key

一般的，檔案尾碼為.crt的是伺服器憑證檔案。其中包含CA簽名公開金鑰。.key檔案中包含伺服器身份的私密金鑰。在做其它事情之前，你需要確保伺服器檔案存在於你期望能夠找到的設定檔當中。

.crt檔案的一個普遍的問題是使用了未知的CA。由認證授權的密鑰憑證，保證了檔案的可靠性和完整性。客戶已經知道CA需要作為外部伺服器。管理員通常會產生自己定義的公開金鑰/私密金鑰對。這就像是在詢問“誰能保證你是真正的Sander van Vugt？”“我是Sander van Vugt，既然我這樣說了，所以你可以相信我。”這種方式並不怎麼方便，是嗎？

在一些服務中，尋找自我簽署憑證的相關錯誤很容易。人們使用自我簽署憑證串連到網路伺服器；伺服器給出一個明文；然後終端使用者可以輕鬆的退出。

其他的服務錯誤不會如此明顯。一個LDAP客戶獲得一個非受信的認證將會串連失敗，尋找問題的原因的方式是仔細分析記錄檔找到提示與CA相關錯誤。如果找到了，找到伺服器儲存CA認證的檔案夾。確信你找到了需要的CA認證，然後複製它覆蓋到原來的位置。再試一次，它就會生效了。

另一個普遍的與TLS認證相關的錯誤，發生在認證的名字和串連的另一端目標終端不匹配時。假設你通知了LDAP客戶串連到LDAP伺服器hnl.example.com。為了確保生效，認證需要有一個主題名hnl.example.com。如果沒有主題名，串連將會失敗。一旦你知道了認證的儲存地點，一般在伺服器/etc/pki/tls/certs檔案下。如果你想使用它，你可以使用openssl命令獲得主題名：opensslx509-text<myserver.crt | grep Subject。如果名字不符，你需要改變用戶端串連伺服器的方式。

由於認證到期也會出現串連失敗。使用openssl x509 -text < myserver.crt命令，系統將會告訴你認證期限。管理員需要在認證到期日之前建立新的認證。