我试图设置一个ldaps支持的LDAP服务器。 服务器托pipe在ec2上,并且在路由53上有一个域名。我得到了53域的SSL证书(比如example.com)。 当我尝试从ldap客户端使用ldaps进行连接时,出现以下错误。
TLS:证书[CN = ip-xx-xx-xx-xxx.ec2.internal]无效 – CA证书无效TLS:证书[CN = ip-xx-xx-xx-xxx.ec2.internal]无效 – 错误-8172:对方的证书颁发者已被标记为不受信任的用户。TLS:错误:连接 – 强制握手失败:errno 21 – moznss错误-8172 TLS:无法连接:TLS错误-8172: Peer的证书颁发者已被标记为不受用户信任。ldap_err2string ldap_sasl_bind(SIMPLE):无法联系LDAP服务器(-1)
问题是ldapparsing到ec2实例的内部IP。 我如何解决这个问题?
问题不在于解决方法,而是LDAP服务器向客户端呈现的证书不可信。 你需要做三件事情之一:
1)从企业CA向EC2发放证书(如果有的话)。
2)在ldaps客户端上安装来自EC2的证书,以便客户端信任证书。
3)从信任的CA购买第三方证书,以便客户自动信任证书。