我试图连接到多个不同的LDAPS服务器。 我见过的很多文档build议TLS_REQCERT never设置TLS_REQCERT never ,但是这TLS_REQCERT never我感到非常不安全,无法validation证书。 所以我已经设定demand 。
我见过的所有文档都说我需要用指向.pem文件的TLS_CACERT指令更新ldap.conf。 我已经得到了来自LDAP服务器#1的证书设置的.pem文件,并且ldaps连接正常。
我现在必须与另一个使用不同证书的组织中另一个分支机构中的另一台LDAP服务器进行安全通信。 我没有看到如何做到这一点的文件,除了1页说,我可以简单地把多个(不链)的证书在同一个.pem文件。 我已经完成了这一切,一切工作hunky dorey。
但是,当我告诉一位同事我做了什么时,他听起来好像天空正在坠落 – 将两个非链式证书放入一个.pem文件显然是自从…以来最糟糕的事情。
有一个更可接受的方式来做到这一点? 或者这是唯一被接受的方式?
捆绑无关证书并不罕见。 这是RedHatpipe理CA的方式。 但是,该方法可能会使删除不再需要信任的证书变得更加困难。 也许你想去散列证书目录的方法。 这是debianpipe理CA的方式。
/etc/ldap/cacerts )。 root权限运行c_rehash (比如sudo c_rehash /etc/ldap/cacerts )。 TLS_CACERTDIR设置为指向您的CA证书目录。 c_rehash每次删除一个sudo find -L /etc/ldap/cacerts -type l -exec rm {} +都要运行sudo find -L /etc/ldap/cacerts -type l -exec rm {} + 。 (重新运行命令而不改变任何东西不会有任何不良影响,但毫无意义。)