如何安全地連接到多個不同的 LDAPS 伺服器 (Debian)

我正在嘗試連接到多個不同的 LDAPS 伺服器。我見過的很多文件都建議設置TLS_REQCERT never，但這讓我覺得不驗證證書非常不安全。所以我把它設置為demand.

我看到的所有文件都說我需要使用指向 .pem 文件的 TLS_CACERT 指令更新 ldap.conf 。我已經使用來自 LDAP 伺服器 #1 的證書設置了 .pem 文件，並且 ldaps 連接正常。

我現在必須與我組織的另一個分支機構中的另一個 LDAP 伺服器進行安全通信，該伺服器使用不同的證書。我沒有看到有關如何執行此操作的文件，除了 1 頁說我可以簡單地將多個（非連結）證書放在同一個 .pem 文件中。我已經做到了，一切正常。

然而，當我告訴一位同事我所做的事情時，他聽起來就像是天塌下來了——將 2 個非鍊式證書放入一個 .pem 文件顯然是……有史以來最糟糕的事情。

有沒有更可接受的方法來做到這一點？或者這是唯一被接受的方式？

捆綁不相關的證書並不少見。這是RedHat管理其 CA 的方式。但是，該方法會使刪除您不再希望信任的證書變得更加困難。也許您想採用散列證書目錄方法。這是debian管理其 CA 的方式。

1. 將您的證書放入一個目錄（例如/etc/ldap/cacerts）。
2. 以針對您的 CA 證書目錄（例如） c_rehash的權限執行。root``sudo c_rehash /etc/ldap/cacerts
3. 刪除您的 TLS_CACERT 選項並設置TLS_CACERTDIR為指向您的 CA 證書目錄。
4. 請記住，c_rehash每次添加證書時執行，sudo find -L /etc/ldap/cacerts -type l -exec rm {} +每次刪除證書時執行。（在不改變任何內容的情況下重新執行命令不會產生任何不良影響，但毫無意義。）

引用自：https://serverfault.com/questions/520597