Мы пытаемся настроить OpenDirectory. Кажется, он хочет создать свой собственный ЦС, а затем промежуточный ЦС с сертификатом, подписанным его собственным ЦС. Я бы предпочел создать промежуточный сертификат CA из нашего существующего внутреннего CA и использовать его вместо этого. Это будет иметь несколько преимуществ (существующий сертификат CA уже распространяется на машины, поэтому для начала не нужно щелкать, чтобы доверять новым сертификатам при присоединении клиента к OD).
Однако я не могу найти ни конфигурации для этого сертификата, ни ссылки на какой-либо другой способ сделать это.
Разумно ли это попытаться сделать, и если да, то как мне это сделать?
Поскольку я вижу, что никто не ответил на этот вопрос ... похоже, что да, это разумный поступок, и пока вы соответствуете полям, используемым в автоматически созданном сертификате, он работает. Я давно это не исправлял, поэтому не могу вспомнить все детали. Единственное, что я помню, это то, что в то время OpenDirectory отказывался работать с сертификатом, у которого был 128-битный серийный номер. OS X Server 5.0 - первая версия, в которой, по всей видимости, это исправлено.
У меня есть конфигурация OpenSSL, которая работает для этой цели, и я постараюсь ее обработать до такой степени, чтобы ее можно было опубликовать здесь, если будет спрос.
Декодер сертификата Красной Пустельги (at https://certlogik.com/decoder/ - другие полезные вещи в http://redkestrel.co.uk) был чрезвычайно полезен для определения фактической требуемой конфигурации и для определения проблемы с полем серийного номера.