如果选择了启用 SSL 选项,则必须执行其他步骤以在 LDAP 服务器和 Address Manager 之间启用 SSL 通信。有关特定步骤和命令的更多详细信息,请参阅有关复制和导入证书的 LDAP 文档。
要启用 SSL 通信:
- 使用 SCP 手动将 LDAP 身份验证器证书上传到 Address Manager。如果拥有多个 LDAP 源,则可以将它们全部添加到同一个证书文件中。 证书的格式必须兼容 Java keytool。兼容的格式包括:
- X.509 PKCS#7 (通常为
.p7b
或.p7c
文件) - X.509 binary DER (通常为
.der
文件,尽管.cer
和.crt
文件也可能采用二进制格式) - X.509 Base64 隐私增强型邮件 (PEM)(通常为带有
-----BEGIN CERTIFICATE-----
and-----END CERTIFICATE-----
标记的.pem
文件)
Tip: 如果需要,可以使用 OpenSSL 将证书转换为不同的格式。 - X.509 PKCS#7 (通常为
- 使用 Java keytool 将证书导入名为“
/data/certs/certificates
”的密钥库。密钥库的密码必须是password
。可以使用任意想用的别名。例如,对于名为“
cacert.pem
”和“ldapserver.pem
”的证书,可以使用以下 keytool 命令:mkdir -p /data/certs keytool -importcert -keystore /data/certs/certificates -storepass password -file cacert.pem -noprompt -alias ca keytool -importcert -keystore /data/certs/certificates -storepass password -file ldapserver.pem -noprompt -alias server1
当尝试通过 SSL 建立 LDAP 连接时,Address Manager 将在 data/certs
目录中查找名为 certificates
的密钥库文件。如果存在,Address Manager 将检查证书以确保 LDAP 验证器的真实性。
Note: 密钥库文件未缓存。这意味着每次尝试通过 SSL 进行 LDAP 连接时都会验证密钥库文件。
Tip: 如果不想管理证书和密钥库文件,则可以删除 /data/certs 目录中的
certificates
密钥库文件。如果此目录中没有密钥库文件,Address Manager 将始终信任 LDAP 验证器的真实性。