OpenLDAP
1 前言
一个问题,一篇文章,一出故事。
今天因为调试KeyCloak与LDAPs集成,需要获取AD的LDAPs证书,因此整理本章节。
2 最佳实践
2.1 直接保存服务端证书(PEM 格式)
openssl s_client -connect dc01.cmdschool.org:636 -servername dc01.cmdschool.org </dev/null 2>/dev/null | openssl x509 -out ldaps_ad_cert.pem
注意:当前证书只匹配dc01.cmdschool.org,不能用cmdschool.org抓取,否则握手域名校验失败拿不到证书!
2.2 抓取完整证书链(根证书 + 中间 + 服务端)
openssl s_client -showcerts -connect dc01.cmdschool.org:636 -servername dc01.cmdschool.org </dev/null > ldaps_chain.txt
注意:文件中从“—–BEGIN CERTIFICATE—–”到“—–END CERTIFICATE—–”就是证书内容。
2.3 验证证书信息
openssl x509 -in ldaps_ad_cert.pem -noout -text | grep -E 'Subject:|DNS:'
可见如下显示,
Subject: CN=dc01.cmdschool.org
DNS:dc01.cmdschool.org
现状提醒:这份证书SAN缺少”cmdschool.org”,就算导入信任,ldapsearch用“-h cmdschool.org”仍然报主机名不匹配,只能临时用“-h dc01.cmdschool.org”。
没有评论