我们正在尝试设置OpenDirectory。 它似乎想要创build自己的CA,然后创build一个中间CA,并使用自己的CA签名的证书。 我宁愿从我们现有的内部CA中生成一个中间CA证书,然后让它使用它。 这将带来一些好处(现有的CA证书已经分发到机器上,因此在将客户joinOD时,不需要点击信任新的证书)。
但是,我找不到这个证书的任何configuration,也没有提及任何其他的方式。
这是一个合理的事情要做,如果是的话,我该怎么做呢?
因为我看到没有人回答这个问题……似乎是的,这是一个合理的做法,只要你匹配在自动生成的证书使用的领域,它的工作。 我现在修好这个已经很久了,所以我不记得所有的细节。 我记得的一件事是,在那个时候,OpenDirectory将拒绝使用具有128位序列号的证书。 OS X Server 5.0是显然可能修复的第一个版本。
我有一个OpenSSL的configuration,为此目的,我将努力消毒,以便它可以张贴在这里,如果有需求。
红色Kestrel的证书解码器(在https://certlogik.com/decoder/ – 其他有用的东西在http://redkestrel.co.uk )是非常有用的,在确定什么是实际的configuration要求可能是,并在确定问题与串行字段。