# SSL

## Référence

📖 Support Ch 7 (p97)


## Démonstration préalable:

lancer un wireshark sur le poste client, avec comme filtre _port 389_

faire une requète ldap authentifiée. Constater la présence du mot de passe et DN de connexion en clair


## Création du certificat

### Certificat autosigné

Suivre la procédure slide 97.

⚠️  Bien faire attention aux permissions sur les fichiers, l'utilisateur _ldap_ doit pouvoir les lire.

### Certificat letsencrypt

```bash
sudo systemctl stop httpd
sudo dnf install certbot -y
sudo certbot certonly --standalone  -d CHANGEME.formation.opendoor.fr -m formation@opendoor.fr --agree-tos --test-cert
# répondre N à la question
sudo systemctl start httpd
```
⚠️  Attention, pour que le certificat (de test) soit reconnu, il faudra que le client télécharge la clé publique de la CA:

```bash
curl https://letsencrypt.org/certs/staging/letsencrypt-stg-root-x1.pem -L  | sudo tee -a  /etc/openldap/certs/ca.pem
echo TLS_CACERT /etc/openldap/certs/ca.pem | sudo tee -a /etc/openldap/ldap.conf
```

Attention également aux permissions. L'utilisateur _ldap_ doit pouvoir lire les différents fichiers:

```bash
sudo chgrp -R ldap /etc/letsencrypt/{archive,live}
sudo chmod -R g+rX /etc/letsencrypt/{archive,live}
```

## Configurer le serveur

La configuration est globale au serveur (1 certificat par serveur). Elle se fait donc au niveau de la branche _cn=config_

Mettez au point le fichier ldif permettant de remplacer les attributs suivants par la bonne valeur (qui dépend de la méthode utilisée pour créer les certificats)

  - olcTLSCipherSuite : ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL | idem |
  - olcTLSProtocolMin : 3.4 | idem |
  - olcTLSCACertificateFile :  /etc/openldap/certs/ca.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
  - olcTLSCertificateFile : /etc/openldap/certs/cert.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/fullchain.pem
  - olcTLSCertificateKeyFile : /etc/openldap/certs/key.pem | /etc/letsencrypt/live/CHANGEME.formation.opendoor.fr/privkey.pem

## Configurer le client

Dans le fichier /etc/openldap/ldap.conf modifier l'_URI_, _TLS_REQCERT_ et _TLS_CACERT_ afin de forcer l'utilisation de ssl, avec vérification du certificat

## Test

On doit pouvoir se connecter de manière sécurisé au serveur

Wireshark ne doit voir passer que des paquets TLS 1.3 application_data