Linux
openldap SSL/TLS 證書:獲取“真實”證書還是使用自簽名證書?
我在 OpenLDAP 上設置 SSL/TLS 並想知道為什麼Debian 手冊讓使用者創建自簽名證書?由“真正的”CA 簽署的不是更安全嗎?
我想說這完全取決於連接到您的 LDAP 伺服器的人員和內容。通過 LDAPS 連接的每個客戶端都應該驗證證書是否由受信任的權威機構簽署。並非所有人都這樣做。(這就是 EEAA 所指的)預設情況下不信任自簽名證書。因此,需要將其導入受信任的權威列表才能正常工作。
如果要連接到 LDAP 伺服器的機器/軟體在您的管理控制之下,那麼自簽名是可行的。您需要將證書導入該應用程序的信任庫。(作業系統級別,Java JVM cacerts 等)這可以是微不足道的(例如:帶有 GroupPolicy 的 Windows),也可以是極其煩人的(HP 列印機可以使用 LDAP 進行電子郵件掃描……而且證書很糟糕)。如果您有使用此 LDAP 伺服器的 BYOD/隨機不受控制的機器……那麼受信任的 CA 證書應該只是為它們“工作”,而無需點擊警告或導入證書。