在 LDAP 上启用 SSL - BlueCat Integrity - 9.5.0

管理指南

Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

如果选择了启用 SSL 选项,则必须执行其他步骤以在 LDAP 服务器和 Address Manager 之间启用 SSL 通信。有关特定步骤和命令的更多详细信息,请参阅有关复制和导入证书的 LDAP 文档。

要启用 SSL 通信:

  1. 使用 SCP 手动将 LDAP 身份验证器证书上传到 Address Manager。如果拥有多个 LDAP 源,则可以将它们全部添加到同一个证书文件中。
    证书的格式必须兼容 Java keytool。兼容的格式包括:
    • X.509 PKCS#7 (通常为 .p7b.p7c 文件)
    • X.509 binary DER (通常为 .der 文件,尽管 .cer.crt 文件也可能采用二进制格式)
    • X.509 Base64 隐私增强型邮件 (PEM)(通常为带有 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 标记的 .pem 文件)
    Tip: 如果需要,可以使用 OpenSSL 将证书转换为不同的格式。
  2. 使用 Java keytool 将证书导入名为“/data/certs/certificates”的密钥库。密钥库的密码必须是 password。可以使用任意想用的别名。

    例如,对于名为“cacert.pem”和“ldapserver.pem”的证书,可以使用以下 keytool 命令:

    mkdir -p /data/certs
    keytool -importcert -keystore /data/certs/certificates -storepass password -file cacert.pem -noprompt -alias ca
    keytool -importcert -keystore /data/certs/certificates -storepass password -file ldapserver.pem -noprompt -alias server1

当尝试通过 SSL 建立 LDAP 连接时,Address Manager 将在 data/certs 目录中查找名为 certificates 的密钥库文件。如果存在,Address Manager 将检查证书以确保 LDAP 验证器的真实性。

Note: 密钥库文件未缓存。这意味着每次尝试通过 SSL 进行 LDAP 连接时都会验证密钥库文件。
Tip: 如果不想管理证书和密钥库文件,则可以删除 /data/certs 目录中的 certificates 密钥库文件。如果此目录中没有密钥库文件,Address Manager 将始终信任 LDAP 验证器的真实性。