[英]LDAP as a Certificate authority
我在一个封闭的网络系统上工作,它对 inte.net 的访问非常有限。 我们设置了一个 ngnix docker(配置在底部)来处理 SSL。系统有自己的证书颁发机构,所以我们提交了证书签名请求,并从他们那里取回了它。 当我将证书和密钥放入 ngnix 时,我得到了证书服务,但是它有一个err_cert_authority_invalid
参见图像。 当我查看 CA URI 时,它是 ldap url ldap://{ldap stuff}
我可以使用来自证书 CA URI 的数据进行 ldap 搜索,该 URI 将返回 cACertificate
该证书有 ldap 字符串作为证书颁发机构,这不是我以前合作过的东西,所以我想我拥有我需要的所有东西,但我不确定如何将它们组合在一起。
我最好的猜测是,需要在运行 ngnix 的 docker 上安装 ldap 客户端来解析 CA 会出现一些问题吗? 还是我必须使用 ldap 搜索来获取其他证书并安装它们?
server {
listen 443 default_server ssl ipv6only=off;
server_name some.thing.edu;
ssl_certificate /etc/ssl/certs/sigend.crt;
ssl_certificate_key /etc/ssl/private/private.key;
location / {
proxy_pass http://app_web;
proxy_redirect off;
proxy_http_version 1.1;
proxy_cache_bypass $http_upgrade;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection keep-alive;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $server_name;
proxy_buffer_size 128k;
proxy_buffers 4 256k;
proxy_busy_buffers_size 256k;
}
}
我已经解决了这个问题,我的误解是 CA 证书需要在浏览器端而不是在服务器端进行验证。
但是我们仍然遇到问题,因为我们是通过 VPN 连接的,而不是在我们的机器上设置的 SSO。 我们通过使用 ldap 搜索来提取证书来解决这个问题,然后将它们直接安装到密钥库中并信任它们。
ldapsearch -x -D $adminDN -w $pass -h $ldapHost -b $base
基本变量是证书颁发机构 ldap uri 的值(没有 ldap:// 和一些 un rul 编码)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.