我正在尝试设置一个支持 ldaps 的 LDAP 服务器。该服务器托管在 ec2 上,其域名位于路由 53 上。我已获得路由 53 域(例如 example.com)的 SSL 证书。当我尝试从 ldap 客户端使用 ldaps 进行连接时,出现以下错误。
TLS:证书 [CN=ip-xx-xx-xx-xxx.ec2.internal] 无效 - CA 证书无效 TLS:证书 [CN=ip-xx-xx-xx-xxx.ec2.internal] 无效 - 错误 -8172:对等方的证书颁发者已被用户标记为不信任。TLS:错误:连接 - 强制握手失败:errno 21 - moznss 错误 -8172 TLS:无法连接:TLS 错误 -8172:对等方的证书颁发者已被用户标记为不信任。ldap_err2string ldap_sasl_bind(SIMPLE):无法联系 LDAP 服务器(-1)
问题是 ldap 解析为 ec2 实例的内部 ip。我该如何解决这个问题?
答案1
问题不是解决方案 - 而是 LDAP 服务器向客户端提供的证书不受信任。您需要执行以下三项操作之一:
1) 如果您有企业 CA,请从该 CA 向 EC2 颁发证书。2
) 在 ldaps 客户端上安装来自 EC2 的证书,以便客户端信任该证书。3
) 从受信任的 CA 购买第三方证书,以便客户端自动信任该证书。