我的通配符证书不会被ldap 2.4.23接受。 当我尝试连接时出现以下错误:
TLS certificate verification: subject: OID.2.5.29.17=DNS:*.domain.com,CN=*.domain.com,OU=LALALA,O=LALALA SA,L=LALALA,ST=LALALA,C=XX, issuer: [email protected],CN=LALALA Root CA,O=LALALA,L=LALALA,ST=LALALA,C=XX, cipher: AES-256, security level: high, secret key bits: 256, total key bits: 256, cache hits: 0, cache misses: 0, cache not reusable: 0 TLS: hostname (openldap1.domain.com) does not match common name in certificate (*.domain.com). 我的证书是: CN=*.domain.com subjectAltName=DNS:*.domain.com AND subjectAltName=DNS:*.domain.com
我怎样才能让我的证书在LDAP中被接受?
首先我find一个页面说, CN中的通配符不能与openldap一起使用,而你必须使用subjectAltName ! (我再也找不到那个页面了)
不幸的是,我创build了这样的证书,这不是subjectAltName,你需要:
[ req_distinguished_name ] subjectAltName =Alternativer Name 1 subjectAltName_default =DNS:*.domain.com
这就是为什么它显示OID.2.5.29.17而不是subjectAltName …
我已经find了关于subjectAltName的答案: http ://wiki.cacert.org/VhostTaskForce
在研究“RFC 2459 – 第4.2.1.7节:使用者替代名称”并对isakmpd的certpatch(8)的结果进行交叉引用后,下列内容应该起作用:[…]为了完成这样的CSR,openssl需要下列条目.cnf(请注意:我只添加了这个属性的相关部分)
[ req ] req_extensions = v3_req [ v3_req ] subjectAltName = DNS:www.example.com