openldap SSL/TLS 證書：獲取“真實”證書還是使用自簽名證書？

我在 OpenLDAP 上設置 SSL/TLS 並想知道為什麼Debian 手冊讓使用者創建自簽名證書？由“真正的”CA 簽署的不是更安全嗎？

我想說這完全取決於連接到您的 LDAP 伺服器的人員和內容。通過 LDAPS 連接的每個客戶端都應該驗證證書是否由受信任的權威機構簽署。並非所有人都這樣做。（這就是 EEAA 所指的）預設情況下不信任自簽名證書。因此，需要將其導入受信任的權威列表才能正常工作。

如果要連接到 LDAP 伺服器的機器/軟體在您的管理控制之下，那麼自簽名是可行的。您需要將證書導入該應用程序的信任庫。（作業系統級別，Java JVM cacerts 等）這可以是微不足道的（例如：帶有 GroupPolicy 的 Windows），也可以是極其煩人的（HP 列印機可以使用 LDAP 進行電子郵件掃描……而且證書很糟糕）。如果您有使用此 LDAP 伺服器的 BYOD/隨機不受控制的機器……那麼受信任的 CA 證書應該只是為它們“工作”，而無需點擊警告或導入證書。

引用自：https://serverfault.com/questions/685069