мой групповой сертификат не принимается с ldap 2.4.23. когда я пытаюсь подключиться, я получаю следующую ошибку:
TLS certificate verification: subject:
OID.2.5.29.17=DNS:*.domain.com,CN=*.domain.com,OU=LALALA,O=LALALA S.A.,L=LALALA,ST=LALALA,C=XX,
issuer: E=support@domain.com,CN=LALALA Root C.A.,O=LALALA,L=LALALA,ST=LALALA,C=XX,
cipher: AES-256, security level: high, secret key bits: 256, total key bits: 256,
cache hits: 0, cache misses: 0, cache not reusable: 0
TLS: hostname (openldap1.domain.com) does not match common name in certificate (*.domain.com).
мой сертификат: CN=*.domain.com И subjectAltName=DNS:*.domain.com
Как сделать так, чтобы мой сертификат принимался в LDAP?
сначала я нашел страницу, где говорится, подстановочные знаки в CN не работают с openldap, и вам нужно использовать subjectAltName! (Я больше не могу найти эту страницу ...)
К сожалению, я создал такой сертификат, который не является subjectAltName, который вам нужен:
[ req_distinguished_name ]
subjectAltName =Alternativer Name 1
subjectAltName_default =DNS:*.domain.com
поэтому вместо subjectAltName отображается OID.2.5.29.17 ...
я нашел ответ на subjectAltName на: http://wiki.cacert.org/VhostTaskForce
После изучения «RFC 2459 - Раздел 4.2.1.7: Альтернативное имя субъекта» и перекрестной ссылки на результат certpatch (8) isakmpd должно работать следующее: [...] Для выполнения такой CSR необходимы следующие записи в openssl .cnf (обратите внимание: я добавил только соответствующие части для этого атрибута)
[ req ] req_extensions = v3_req [ v3_req ] subjectAltName = DNS:www.example.com