Я раньше использовал следующую команду для загрузки моего сервера сертификаты SSL с LDAP, чтобы добавить их к коту/Java keystores:
openssl s_client - подключение 10.140.136.192:636
Начиная с LDAP был удержан от использования SSL (порт 636), у меня нет порта 636 доступными больше. Я попытался найти различные заклинания для openssl s_client
такой как -starttls
и -tls1_2
однако ни один из них не производит сертификат. Что волшебное слово состоит в том, чтобы сделать это?
OpenSSL поддерживает starttls для ряда протоколов с s_client:
-starttls protocol
отправляет специфичные для протокола сообщения для переключения на TLS для общение. Протокол - это ключевое слово для предполагаемого протокола. В настоящее время поддерживаются только ключевые слова «smtp
», «pop3
», «imap
» и «ftp
».
], что позволит вам легко получить общедоступный сертификат, но, к сожалению, LDAP не входит в их число.
Поскольку обновление до TLS зависит от протокола, вам нужен инструмент, который понимает протокол. Это исключает OpenSSL.
У меня под рукой нет каталога, но я бы не стал подробным ldapsearch -Z -v -H ldap: //ldap.example.com: 389 ...
отображать сертификат как часть отладочной информации?
Быстрый поиск показывает, что студия Apache Directory также отобразит сертификат .
Обновление:
Openssl 1.1.1 включал патч для добавления поддержки LDAP (RFC 4511) в s_client и -starttls ldap
теперь поддерживается. Версии openssl для RHEL / CentOS 7, похоже, имеют бэкпорт этого обновления (и другие) к пакету openssl 1.0.2k, который они поставляют, поскольку в руководстве теперь есть 8 дополнительных протоколов starttls:
-starttls protocol
отправляет сообщение (я), зависящее от протокола, для переключения на TLS для связи. Протокол - это ключевое слово для предполагаемого протокола. В настоящее время поддерживаются только ключевые словаsmtp
,pop3
,imap
,ftp
,xmpp
,xmpp-сервер
,irc
,postgres
,lmtp
,nntp
,sieve
иldap
.