как я могу использовать openssl для загрузки моего ldap сертификата по порту 389 вместо 636 (TLS)?
Я раньше использовал следующую команду для загрузки моего сервера сертификаты SSL с LDAP, чтобы добавить их к коту/Java keystores:
openssl s_client - подключение 10.140.136.192:636
Начиная с LDAP был удержан от использования SSL (порт 636), у меня нет порта 636 доступными больше. Я попытался найти различные заклинания для openssl s_client такой как -starttls и -tls1_2 однако ни один из них не производит сертификат. Что волшебное слово состоит в том, чтобы сделать это?
OpenSSL поддерживает starttls для ряда протоколов с s_client:
-starttls protocol
отправляет специфичные для протокола сообщения для переключения на TLS для общение. Протокол - это ключевое слово для предполагаемого протокола. В настоящее время поддерживаются только ключевые слова «smtp», «pop3», «imap» и «ftp».
], что позволит вам легко получить общедоступный сертификат, но, к сожалению, LDAP не входит в их число.
Поскольку обновление до TLS зависит от протокола, вам нужен инструмент, который понимает протокол. Это исключает OpenSSL.
У меня под рукой нет каталога, но я бы не стал подробным ldapsearch -Z -v -H ldap: //ldap.example.com: 389 ... отображать сертификат как часть отладочной информации?
Быстрый поиск показывает, что студия Apache Directory также отобразит сертификат .
Обновление:
Openssl 1.1.1 включал патч для добавления поддержки LDAP (RFC 4511) в s_client и -starttls ldap теперь поддерживается. Версии openssl для RHEL / CentOS 7, похоже, имеют бэкпорт этого обновления (и другие) к пакету openssl 1.0.2k, который они поставляют, поскольку в руководстве теперь есть 8 дополнительных протоколов starttls:
-starttls protocol
отправляет сообщение (я), зависящее от протокола, для переключения на TLS для связи. Протокол - это ключевое слово для предполагаемого протокола. В настоящее время поддерживаются только ключевые словаsmtp,pop3,imap,ftp,xmpp,xmpp-сервер,irc,postgres,lmtp,nntp,sieveиldap.