Security

如何安全地連接到多個不同的 LDAPS 伺服器 (Debian)

  • July 5, 2013

我正在嘗試連接到多個不同的 LDAPS 伺服器。我見過的很多文件都建議設置TLS_REQCERT never,但這讓我覺得不驗證證書非常不安全。所以我把它設置為demand.

我看到的所有文件都說我需要使用指向 .pem 文件的 TLS_CACERT 指令更新 ldap.conf 。我已經使用來自 LDAP 伺服器 #1 的證書設置了 .pem 文件,並且 ldaps 連接正常。

我現在必須與我組織的另一個分支機構中的另一個 LDAP 伺服器進行安全通信,該伺服器使用不同的證書。我沒有看到有關如何執行此操作的文件,除了 1 頁說我可以簡單地將多個(非連結)證書放在同一個 .pem 文件中。我已經做到了,一切正常。

然而,當我告訴一位同事我所做的事情時,他聽起來就像是天塌下來了——將 2 個非鍊式證書放入一個 .pem 文件顯然是……有史以來最糟糕的事情。

有沒有更可接受的方法來做到這一點?或者這是唯一被接受的方式?

捆綁不相關的證書並不少見。這是RedHat管理其 CA 的方式。但是,該方法會使刪除您不再希望信任的證書變得更加困難。也許您想採用散列證書目錄方法。這是debian管理其 CA 的方式。

  1. 將您的證書放入一個目錄(例如/etc/ldap/cacerts)。
  2. 以針對您的 CA 證書目錄(例如) c_rehash的權限執行。root``sudo c_rehash /etc/ldap/cacerts
  3. 刪除您的 TLS_CACERT 選項並設置TLS_CACERTDIR為指向您的 CA 證書目錄。
  4. 請記住,c_rehash每次添加證書時執行,sudo find -L /etc/ldap/cacerts -type l -exec rm {} +每次刪除證書時執行。(在不改變任何內容的情況下重新執行命令不會產生任何不良影響,但毫無意義。)

引用自:https://serverfault.com/questions/520597