У меня был некоторый успех, используя Windows 2003 Server, работающий как центр сертификации, подписывающий сертификаты, используемые в защищенной связи между Ubuntu Linux и Active Directory на Windows 2003 Server.
Теперь я настроил ЦС Linux с помощью openssl, создал запрос Windows 2003 с помощью certreq, подписал сертификат и передал открытый ключ ЦС и подписанный сертификат обратно в Windows 2003. В оснастке сертификатов все выглядит нормально, но Я не могу заставить работать безопасную связь между Linux и Windows (используя openssl s_client).
Могу ли я использовать certreq для создания запросов для openssl? В своем исследовании я видел подробности установки openssl в Windows, чтобы сделать запрос (возможно, я не смогу сделать это, если это попадет в производство).
У кого-нибудь есть лабораторная установка и есть файл конфигурации для Linux CA, на который я мог бы взглянуть, пожалуйста?
Нашел свой ответ в инструкции для служб каталогов Fedora и LDAP.
Важной частью была настройка сертификата сервера, которая ДОЛЖНА допускать использование «альтернативного имени субъекта» (subjectAltName) типа IP Address. Это требование AD.
(Чтобы получить эту опцию, вам может потребоваться перейти на Preferences -> OpenSSLConfiguration, щелкнуть на Server Certificate Settings, и изменить Subject alternative name из Copy Email к ask). Я также заметил, что на стороне Windows мне не нужен пароль для импорта pkcs#12 сертификат.