Назад | Перейти на главную страницу

Можно ли разумно настроить OpenDirectory в OS X для использования сертификата промежуточного ЦС от существующего ЦС?

Мы пытаемся настроить OpenDirectory. Кажется, он хочет создать свой собственный ЦС, а затем промежуточный ЦС с сертификатом, подписанным его собственным ЦС. Я бы предпочел создать промежуточный сертификат CA из нашего существующего внутреннего CA и использовать его вместо этого. Это будет иметь несколько преимуществ (существующий сертификат CA уже распространяется на машины, поэтому для начала не нужно щелкать, чтобы доверять новым сертификатам при присоединении клиента к OD).

Однако я не могу найти ни конфигурации для этого сертификата, ни ссылки на какой-либо другой способ сделать это.

Разумно ли это попытаться сделать, и если да, то как мне это сделать?

Поскольку я вижу, что никто не ответил на этот вопрос ... похоже, что да, это разумный поступок, и пока вы соответствуете полям, используемым в автоматически созданном сертификате, он работает. Я давно это не исправлял, поэтому не могу вспомнить все детали. Единственное, что я помню, это то, что в то время OpenDirectory отказывался работать с сертификатом, у которого был 128-битный серийный номер. OS X Server 5.0 - первая версия, в которой, по всей видимости, это исправлено.

У меня есть конфигурация OpenSSL, которая работает для этой цели, и я постараюсь ее обработать до такой степени, чтобы ее можно было опубликовать здесь, если будет спрос.

Декодер сертификата Красной Пустельги (at https://certlogik.com/decoder/ - другие полезные вещи в http://redkestrel.co.uk) был чрезвычайно полезен для определения фактической требуемой конфигурации и для определения проблемы с полем серийного номера.