我正在OpenLDAP上设置SSL / TLS,并想知道为什么Debian手册有用户创build一个自签名的证书? 一个真正的CA签名会不会更安全?
我会说这完全取决于谁和连接到您的LDAP服务器。 每个通过LDAPS连接的客户端都应该validation证书是否由受信任的权威机构签署。 并不是所有的人都这样做。 (这是EEAA所指的)默认情况下,自签名证书不会被信任。 因此需要将其导入到受信任的机构名单才能正常工作。
如果要连接到LDAP服务器的机器/软件在您的pipe理控制之下,则自签名是可行的。 您需要将您的证书导入到该应用程序的信任库中。 (操作系统级别,Java JVM cacerts等)这可以从微不足道(例如:Windows与GroupPolicy)到非常令人恼火的(惠普打印机可以使用LDAP进行电子邮件扫描…而且证书可怕)。 如果你有使用这个LDAP服务器的BYOD /随机不受控制的机器…那么可信的CA证书应该为他们“工作”,不用点击警告或者导入证书。