我正在创建一个简单的客户端来连接到我的一个Windows 2008R2 Active Directory域控制器上运行的LDAP服务器。
我已通过非TLS连接成功连接到LDAP服务器。但是,每当我尝试建立TLS连接时,握手都会失败。经过一番挖掘,并使用以下命令下载证书:
openssl s_client -connect <domain controller>:636
我发现从LDAP服务器提供的证书无效。我可以看到证书是由我们的CA和我的本地系统签署的,运行该应用程序已经与CA建立了这种信任。但是,它缺少证书中的所有主题信息。客户端应用程序不允许这样做。
与管理员交谈后,他表示为域控制器系统生成的证书通过LDAP提供TLS证书是自动的,由我们的内部Microsoft证书服务器创建。他不确定如何解决这个问题。
经过无数次谷歌搜索后,我对如何解决这个问题已经说空了。它是在证书服务器上解决的问题吗?在域控制器上是否正在剥离主题信息?是一些设置还是配置?因为,我无法直接访问这些系统,所以我不知道从哪里开始。
任何帮助将不胜感激。 盲目地信任无效的证书是不可接受的解决方案。
答案 0 :(得分:0)
请您的管理员为您的环境导出根证书(例如,导出到.cer文件)。然后,您可以使用该文件将其作为受信任的根证书添加到需要访问它的计算机上。
当我们需要通过LDAPS访问外部域时,我们如何在我们的环境中执行此操作。
当然,只有在访问LDAPS的应用程序使用Windows证书存储区时才有效。某些应用程序(如基于Java的应用程序)不需要,您需要以另一种方式执行此操作。
答案 1 :(得分:0)
我能够帮助管理员更新证书服务器用来包含主题和主题备用名称的模板。
我找到了以下帮助确定问题的文章
最终遍历每个设置,直到找到解决证书服务器发送原因和证书无效问题的正确解决方案。