LDAP 作为证书颁发机构

Question

我在一个封闭的网络系统上工作，它对 inte.net 的访问非常有限。 我们设置了一个 ngnix docker（配置在底部）来处理 SSL。系统有自己的证书颁发机构，所以我们提交了证书签名请求，并从他们那里取回了它。 当我将证书和密钥放入 ngnix 时，我得到了证书服务，但是它有一个err_cert_authority_invalid参见图像。 当我查看 CA URI 时，它是 ldap url ldap://{ldap stuff}

我可以使用来自证书 CA URI 的数据进行 ldap 搜索，该 URI 将返回 cACertificate

该证书有 ldap 字符串作为证书颁发机构，这不是我以前合作过的东西，所以我想我拥有我需要的所有东西，但我不确定如何将它们组合在一起。

我最好的猜测是，需要在运行 ngnix 的 docker 上安装 ldap 客户端来解析 CA 会出现一些问题吗？ 还是我必须使用 ldap 搜索来获取其他证书并安装它们？

server {
    listen 443 default_server ssl ipv6only=off;
    server_name some.thing.edu;

    ssl_certificate /etc/ssl/certs/sigend.crt;
    ssl_certificate_key /etc/ssl/private/private.key;

    location / {
        proxy_pass         http://app_web;
        proxy_redirect     off;
        proxy_http_version 1.1;
        proxy_cache_bypass $http_upgrade;
        proxy_set_header   Upgrade $http_upgrade;
        proxy_set_header   Connection keep-alive;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
        proxy_set_header   X-Forwarded-Host $server_name;
        proxy_buffer_size           128k;
        proxy_buffers               4 256k;
        proxy_busy_buffers_size     256k;
    }
}

Answer 1

我已经解决了这个问题，我的误解是 CA 证书需要在浏览器端而不是在服务器端进行验证。

但是我们仍然遇到问题，因为我们是通过 VPN 连接的，而不是在我们的机器上设置的 SSO。 我们通过使用 ldap 搜索来提取证书来解决这个问题，然后将它们直接安装到密钥库中并信任它们。

ldapsearch -x -D $adminDN -w $pass -h $ldapHost -b $base 

基本变量是证书颁发机构 ldap uri 的值（没有 ldap:// 和一些 un rul 编码）