Я настраиваю SSL/TLS на OpenLDAP и задаюсь вопросом, почему Руководство Debian сделало, чтобы пользователь создал самоподписанный сертификат? Не был бы тот, подписанный 'реальным' CA быть более безопасным?
Я бы сказал, что это полностью зависит от того, кто и что подключается к вашему серверу LDAP. Каждому клиенту, который подключается через LDAPS , СЛЕДУЕТ проверять, что сертификат подписан доверенным центром. Не все из них. (Это то, что имеет в виду EEAA) Самоподписанный сертификат по умолчанию не будет доверенным. Поэтому для правильной работы его необходимо будет импортировать в список доверенных органов.
Если машина / программное обеспечение, которое будет подключаться к вашему серверу LDAP, находится под вашим административным контролем, тогда самоподписанное устройство будет жизнеспособным. Вам нужно будет импортировать свой сертификат в хранилище доверенных сертификатов для этого приложения. (Уровень ОС, Java JVM cacerts и др.) Это может варьироваться от тривиального (например, Windows с GroupPolicy) до чрезвычайно раздражающего (принтеры HP могут использовать LDAP для сканирования электронной почты ... и они ужасны с сертификатами). Если у вас есть BYOD / случайные неконтролируемые машины, использующие этот сервер LDAP ... тогда сертификат доверенного ЦС должен просто «работать» для них, без щелчков по предупреждениям или импорта сертификатов.