我有一个具有以下 CRL 的证书:
URL=ldap:///CN=GOLF Root-CA,CN=VSCERT02,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=toplevel-domain,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=GOLF%20Root-CA,CN=VSCERT02,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=toplevel-domain,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint
因为从 VPN 迁移到 ZTNA 网络解决方案后,我们在 CRL 方面遇到了问题。不幸的是,我无法找到要求访问它的 DNS/网络级别的 FQDN。
如何从该 CRL 获取 FQDN?
谨致问候 Linus
答案1
此 LDAP乌RL 看起来像是由 MS AD 证书服务生成的,指向存储在 Active Directory LDAP 对象中的 CRL。
它故意缺少 LDAP 服务器 FQDN,因为 Active Directory 通常没有用于服务的固定 FQDN(即,除非管理员手动创建,否则没有“ldap.example.com”),相反,AD 客户端应该进行 DNS SRV 查询来发现所有可用的域控制器(Windows 会自动执行此操作)。
要查找域中的所有 DC,请_ldap._tcp对子域进行 SRV 查询:
host -t SRV _ldap._tcp.toplevel-domain.de
nslookup -q=SRV _ldap._tcp.toplevel-domain.de