Я настраиваю SSL / TLS на OpenLDAP и задаюсь вопросом, почему Справочник Debian Пользователь создал самозаверяющий сертификат? Разве один, подписанный «настоящим» центром сертификации, не будет более безопасным?
Я бы сказал, что это полностью зависит от того, кто и что подключается к вашему серверу LDAP. Каждый клиент, который подключается через LDAPS ДОЛЖЕН убедитесь, что сертификат подписан доверенным центром. Не все из них. (Это то, что имеет в виду EEAA) Самоподписанный сертификат по умолчанию не будет доверенным. Поэтому для правильной работы его нужно будет импортировать в список доверенных центров.
Если компьютер / программное обеспечение, которое будет подключаться к вашему серверу LDAP, находится под вашим административным контролем, тогда можно использовать самоподписанное устройство. Вам нужно будет импортировать свой сертификат в хранилище доверенных сертификатов для этого приложения. (Уровень ОС, Java JVM cacerts и др.) Это может варьироваться от тривиального (например, Windows с GroupPolicy) до крайне раздражающего (принтеры HP могут использовать LDAP для сканирования электронной почты ... и они ужасны с сертификатами). Если у вас есть BYOD / случайные неконтролируемые машины, использующие этот сервер LDAP ... тогда доверенный сертификат CA должен просто «работать» для них, без щелчка по предупреждениям или импорта сертификатов.