git.sur5r.net Git - openldap/blob - doc/man/man5/slapo-autoca.5

   1 .TH SLAPO-AUTOCA 5 "RELEASEDATE" "OpenLDAP LDVERSION"
   2 .\" Copyright 2009-2017 The OpenLDAP Foundation All Rights Reserved.
   3 .\" Copyright 2009-2017 Howard Chu All Rights Reserved.
   4 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
   5 .\" $OpenLDAP$
   6 .SH NAME
   7 slapo\-autoca \- Automatic Certificate Authority overlay to slapd
   8 .SH SYNOPSIS
   9 ETCDIR/slapd.conf
  10 .SH DESCRIPTION
  11 The Automatic CA overlay generates X.509 certificate/key pairs for
  12 entries in the directory. The DN of a generated certificate is
  13 identical to the DN of the entry containing it. On startup it
  14 checks for a CA certificate in the suffix entry of the database
  15 and generates and stores one if not found. This CA certificate
  16 is used to sign all subsequently generated certificates.
  17 .LP
  18 Certificates for users and servers are generated on demand using
  19 a Search request returning only the userCertificate;binary and
  20 userPrivateKey;binary attributes. Any Search for anything besides
  21 exactly these two attributes is ignored by the overlay. Note that
  22 these values are stored in ASN.1 DER form in the directory so the
  23 ";binary" attribute option is mandatory.
  24 .LP
  25 Entries that do not belong to selected objectClasses will be
  26 ignored by the overlay. By default, entries of objectClass
  27 .B person
  28 will be treated as users, and entries of objectClass
  29 .B ipHost
  30 will be treated as servers. There are slight differences in the
  31 set of X.509V3 certificate extensions added to the certificate
  32 between users and servers.
  33 .LP
  34 The CA's private key is stored in a
  35 .B cAPrivateKey
  36 attribute, and user and server private keys are stored in the
  37 .B userPrivateKey
  38 attribute. It is essential that access to these attributes be
  39 properly secured with ACLs. Both of these attributes inherit
  40 from the
  41 .B x509PrivateKey
  42 attribute, so it is sufficient to use a single ACL rule like
  43
  44 .nf
  45         access to attrs=x509PrivateKey by self ssf=128 write
  46 .fi
  47
  48 at the beginning of the rules.
  49
  50 .SH CONFIGURATION
  51 These
  52 .B slapd.conf
  53 options apply to the Automatic CA overlay.
  54 They should appear after the
  55 .B overlay
  56 directive.
  57 .TP
  58 .B userClass <objectClass>
  59 Specify the objectClass to be treated as user entries.
  60 .TP
  61 .B serverClass <objectClass>
  62 Specify the objectClass to be treated as server entries.
  63 .TP
  64 .B userKeybits <integer>
  65 Specify the size of the private key to use for user certificates.
  66 The default is 2048 and the minimum is 512.
  67 .TP
  68 .B serverKeybits <integer>
  69 Specify the size of the private key to use for server certificates.
  70 The default is 2048 and the minimum is 512.
  71 .TP
  72 .B caKeybits <integer>
  73 Specify the size of the private key to use for the CA certificate.
  74 The default is 2048 and the minimum is 512.
  75 .TP
  76 .B userDays <integer>
  77 Specify the duration for a user certificate's validity.
  78 The default is 365, 1 year.
  79 .TP
  80 .B serverDays <integer>
  81 Specify the duration for a server certificate's validity.
  82 The default is 1826, 5 years.
  83 .TP
  84 .B caDays <integer>
  85 Specify the duration for the CA certificate's validity.
  86 The default is 3652, 10 years.
  87
  88 .SH EXAMPLES
  89 .nf
  90   database mdb
  91   ...
  92   overlay autoca
  93   caKeybits 4096
  94 .fi
  95 .SH FILES
  96 .TP
  97 ETCDIR/slapd.conf
  98 default slapd configuration file
  99 .SH SEE ALSO
 100 .BR slapd.conf (5),
 101 .BR slapd\-config (5).
 102 .SH AUTHOR
 103 Howard Chu