<html>
<head>
<style>
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Verdana
}
</style>
</head>
<body class='hmmessage'>
Further information for Q2: It looks like  '-passout pass:<password>' is mandatory, regardless:<BR>
 <BR>
+ openssl req -newkey rsa:1024 -keyout /root/tools/ssl/misc/output/X9999990.key -out /root/tools/ssl/misc/output/X9999990.csr -days 7300<BR><SNIP><BR>
<BR>Enter PEM pass phrase:<BR>Verifying - Enter PEM pass phrase:<BR>Enter PEM pass phrase:<BR>Verifying - Enter PEM pass phrase:<BR>
...<BR>
 <BR>
Like I say, any help would be greatly appreciated !<BR>
 <BR>
Cdlt, <BR>
---------<BR> <BR>
<HR id=stopSpelling>
From: lambam80@hotmail.com<BR>To: fedora-directory-users@redhat.com; lambam80@hotmail.com<BR>Subject: PAM-LDAP LDAPS (Linux Login) with PAM-LDAP using a client certificate<BR>Date: Tue, 12 May 2009 07:56:52 -0400<BR><BR>
<STYLE>
.ExternalClass .EC_hmmessage P
{padding:0px;}
.ExternalClass body.EC_hmmessage
{font-size:10pt;font-family:Verdana;}
</STYLE>
Hello everybody and, firstly, thanks for your continued support.<BR> <BR>I hope I've used the correct expression/jargon, ie:PAM-LDAP ?<BR> <BR>PAM-LDAP works with LDAPS and binding with cn=Directory Manager/password hardcoded in /etc/ldap.conf - great stuff.<BR>This was configured using the GUI '/usr/sbin/system-config-authentication' - also great stuff !<BR> <BR>Symbolic Link pointing to the CA certificate: Q1. I've searched the web but cannot find what purpose the symbolic link serves.<BR>----------------------------------------<BR> <BR># ls -toalr /etc/openldap/cacerts<BR>-rw-r--r-- 1 root 1464 2009-03-10 12:21 authconfig_downloaded.pem<BR>lrwxrwxrwx 1 root   25 2009-03-10 12:21 123a856c.0 -> authconfig_downloaded.pem<BR> <BR> <BR>Client Certificate etc.<BR>--------------------------<BR>I'm now experimenting with client certificates and have found the following link:<BR> <BR><A href="http://lists.fini.net/pipermail/ldap-interop/2005-April/000421.html">http://lists.fini.net/pipermail/ldap-interop/2005-April/000421.html</A><BR> <BR>and see the following example lines for the file /etc/ldap.conf:<BR>tls_cert   /usr/share/ssl/certs/ldap.pem ($FN.pem in my case)<BR>tls_key    /usr/share/ssl/certs/ldap.key.pem ($FN.key for me)<BR> <BR>Q2. ldap.key.pem: Is this file simply the $FN.key file created by the following command ?<BR>Will I have trouble if I specify '-passout' ? I assume it protects the file $FN.key.<BR>How will PAM-LDAP open the keystore if I have used a password ?<BR> <BR>openssl req -newkey rsa:1024 -keyout ${FN}.key -out ${FN}.csr -passout pass:<password> 0<< EOF >/dev/null 2>&1<BR><SNIP><BR> <BR>Q3. ldap.pem: Is this file simply the $FN.pem file created by the following command ?<BR> <BR>openssl ca -in ${FN}.csr -out ${FN}.pem -days 7300 -keyfile $DIR/demoCA/private/cakey.pem \<BR>        -cert $DIR/demoCA/cacert.pem \<BR>        -passin pass:<CA PASSWORD> << EOF2 >/dev/null 2>&1<BR><SNIP><BR> <BR>Thanks again, cdlt, <BR>-----------<BR> <BR> <BR><BR> <BR><BR>
<HR>
Create a cool, new character for your Windows Live™ Messenger. <A href="http://go.microsoft.com/?linkid=9656621">Check it out</A><br /><hr />Windows Live helps you keep up with all your friends,  <a href='http://go.microsoft.com/?linkid=9660824' target='_new'>in one place.</a></body>
</html>