[英]LDAP as a Certificate authority
我在一個封閉的網絡系統上工作,它對 inte.net 的訪問非常有限。 我們設置了一個 ngnix docker(配置在底部)來處理 SSL。系統有自己的證書頒發機構,所以我們提交了證書簽名請求,並從他們那里取回了它。 當我將證書和密鑰放入 ngnix 時,我得到了證書服務,但是它有一個err_cert_authority_invalid
參見圖像。 當我查看 CA URI 時,它是 ldap url ldap://{ldap stuff}
我可以使用來自證書 CA URI 的數據進行 ldap 搜索,該 URI 將返回 cACertificate
該證書有 ldap 字符串作為證書頒發機構,這不是我以前合作過的東西,所以我想我擁有我需要的所有東西,但我不確定如何將它們組合在一起。
我最好的猜測是,需要在運行 ngnix 的 docker 上安裝 ldap 客戶端來解析 CA 會出現一些問題嗎? 還是我必須使用 ldap 搜索來獲取其他證書並安裝它們?
server {
listen 443 default_server ssl ipv6only=off;
server_name some.thing.edu;
ssl_certificate /etc/ssl/certs/sigend.crt;
ssl_certificate_key /etc/ssl/private/private.key;
location / {
proxy_pass http://app_web;
proxy_redirect off;
proxy_http_version 1.1;
proxy_cache_bypass $http_upgrade;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection keep-alive;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $server_name;
proxy_buffer_size 128k;
proxy_buffers 4 256k;
proxy_busy_buffers_size 256k;
}
}
我已經解決了這個問題,我的誤解是 CA 證書需要在瀏覽器端而不是在服務器端進行驗證。
但是我們仍然遇到問題,因為我們是通過 VPN 連接的,而不是在我們的機器上設置的 SSO。 我們通過使用 ldap 搜索來提取證書來解決這個問題,然后將它們直接安裝到密鑰庫中並信任它們。
ldapsearch -x -D $adminDN -w $pass -h $ldapHost -b $base
基本變量是證書頒發機構 ldap uri 的值(沒有 ldap:// 和一些 un rul 編碼)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.