如何获取AD LDAPs证书?

OpenLDAP

1 前言

一个问题,一篇文章,一出故事。
今天因为调试KeyCloak与LDAPs集成,需要获取AD的LDAPs证书,因此整理本章节。

2 最佳实践

2.1 直接保存服务端证书(PEM 格式)

openssl s_client -connect dc01.cmdschool.org:636 -servername dc01.cmdschool.org </dev/null 2>/dev/null | openssl x509 -out ldaps_ad_cert.pem

注意:当前证书只匹配dc01.cmdschool.org,不能用cmdschool.org抓取,否则握手域名校验失败拿不到证书!

2.2 抓取完整证书链(根证书 + 中间 + 服务端)

openssl s_client -showcerts -connect dc01.cmdschool.org:636 -servername dc01.cmdschool.org </dev/null > ldaps_chain.txt

注意:文件中从“—–BEGIN CERTIFICATE—–”到“—–END CERTIFICATE—–”就是证书内容。

2.3 验证证书信息

openssl x509 -in ldaps_ad_cert.pem -noout -text | grep -E 'Subject:|DNS:'

可见如下显示,

        Subject: CN=dc01.cmdschool.org
                DNS:dc01.cmdschool.org

现状提醒:这份证书SAN缺少”cmdschool.org”,就算导入信任,ldapsearch用“-h cmdschool.org”仍然报主机名不匹配,只能临时用“-h dc01.cmdschool.org”。

没有评论

发表回复

OpenLDAP
如何使用tcpdump分析LDAPs的通讯?

1 前言 一个问题,一篇文章,一出故事。 今天因为调试KeyCloak与LDAPs集成,由于teln …

OpenLDAP
如何使用ldapsearch连接ldaps?

1 前言 一个问题,一篇文章,一出故事。 今天因为调试KeyCloak与LDAPs集成,需要使用ld …

OpenLDAP
如何基于AD组筛选AD的LDAP用户?

1 前言 一个问题,一篇文章,一出故事。 今天遇到一个项目需要根据用户的AD组进行筛选用户,因此需要 …