LDAP 作為證書頒發機構

Question

我在一個封閉的網絡系統上工作，它對 inte.net 的訪問非常有限。 我們設置了一個 ngnix docker（配置在底部）來處理 SSL。系統有自己的證書頒發機構，所以我們提交了證書簽名請求，並從他們那里取回了它。 當我將證書和密鑰放入 ngnix 時，我得到了證書服務，但是它有一個err_cert_authority_invalid參見圖像。 當我查看 CA URI 時，它是 ldap url ldap://{ldap stuff}

我可以使用來自證書 CA URI 的數據進行 ldap 搜索，該 URI 將返回 cACertificate

該證書有 ldap 字符串作為證書頒發機構，這不是我以前合作過的東西，所以我想我擁有我需要的所有東西，但我不確定如何將它們組合在一起。

我最好的猜測是，需要在運行 ngnix 的 docker 上安裝 ldap 客戶端來解析 CA 會出現一些問題嗎？ 還是我必須使用 ldap 搜索來獲取其他證書並安裝它們？

server {
    listen 443 default_server ssl ipv6only=off;
    server_name some.thing.edu;

    ssl_certificate /etc/ssl/certs/sigend.crt;
    ssl_certificate_key /etc/ssl/private/private.key;

    location / {
        proxy_pass         http://app_web;
        proxy_redirect     off;
        proxy_http_version 1.1;
        proxy_cache_bypass $http_upgrade;
        proxy_set_header   Upgrade $http_upgrade;
        proxy_set_header   Connection keep-alive;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
        proxy_set_header   X-Forwarded-Host $server_name;
        proxy_buffer_size           128k;
        proxy_buffers               4 256k;
        proxy_busy_buffers_size     256k;
    }
}

Answer 1

我已經解決了這個問題，我的誤解是 CA 證書需要在瀏覽器端而不是在服務器端進行驗證。

但是我們仍然遇到問題，因為我們是通過 VPN 連接的，而不是在我們的機器上設置的 SSO。 我們通過使用 ldap 搜索來提取證書來解決這個問題，然后將它們直接安裝到密鑰庫中並信任它們。

ldapsearch -x -D $adminDN -w $pass -h $ldapHost -b $base 

基本變量是證書頒發機構 ldap uri 的值（沒有 ldap:// 和一些 un rul 編碼）