Может OpenDirectory на OS X обоснованно быть настроенным для использования промежуточного сертификата CA от существующего CA?
Мы пытаемся создать OpenDirectory. Это, кажется, хочет создать свой собственный CA и затем промежуточный CA с сертификатом, подписанным его собственным Приблизительно. Я предпочел бы генерировать промежуточный сертификат CA от нашего существующего внутреннего CA и иметь его использование это вместо этого. Это обладало бы несколькими преимуществами (существующий сертификат CA уже распределяется машинам, таким образом, никакая потребность нажать для доверия новым сертификатам при соединении клиента с OD, для начинающих).
Однако я не могу найти конфигурацию для этого сертификата, ни любую ссылку ни на какой другой способ сделать его.
Действительно ли это - разумная вещь попытаться сделать, и раз так как я делаю это?
Поскольку я вижу, что никто не ответил на этот вопрос ... похоже, что да, это разумный поступок, и если вы соответствуете полям, используемым в автоматически сгенерированном сертификате, оно работает. Прошло много времени с тех пор, как я это исправил, поэтому я не могу вспомнить все детали. Единственное, что я помню, это то, что в то время OpenDirectory отказывался работать с сертификатом, у которого был 128-битный серийный номер. OS X Server 5.0 - первая версия, в которой это, по всей видимости, исправлено.
У меня есть конфигурация OpenSSL, которая работает для этой цели, и я постараюсь очистить ее до такой степени, чтобы ее можно было опубликовать здесь, если будет потребность.
Декодер сертификата Red Kestrel (на https://certlogik.com/decoder/ - другие полезные вещи на http://redkestrel.co.uk ) был чрезвычайно полезен в выяснение того, какой может быть фактическая требуемая конфигурация, и определение проблемы с полем последовательного порта.