OS X 上的 OpenDirectory 是否可以合理配置为使用来自现有 CA 的中间 CA 证书?

OS X 上的 OpenDirectory 是否可以合理配置为使用来自现有 CA 的中间 CA 证书?

我们正在尝试设置 OpenDirectory。它似乎想要创建自己的 CA,然后创建一个由其自己的 CA 签名的证书的中间 CA。我更愿意从我们现有的内部 CA 生成一个中间 CA 证书,并让它使用它。这将有几个好处(现有的 CA 证书已经分发给机器,因此在将客户端加入 OD 时无需单击以信任新证书,首先)。

但是,我找不到此证书的任何配置,也没有任何其他方法的参考。

这是一个合理的做法吗?如果是,我该怎么做?

答案1

因为我发现没有人回答过这个问题……看来,是的,这是一个合理的做法,只要您匹配自动生成的证书中使用的字段,它就可以工作。我已经很久没有修复这个问题了,所以我记不清所有的细节了。我记得的一件事是,当时,OpenDirectory 拒绝使用具有 128 位序列号的证书。OS X Server 5.0 是第一个似乎可以修复此问题的版本。

我有一个用于此目的的 OpenSSL 配置,如果有需求的话,我会尝试将其清理到可以发布在这里的程度。

Red Kestrel 的证书解码器(位于https://certlogik.com/decoder/- 其他有用的东西http://redkestrel.co.uk) 对确定所需的实际配置以及识别串行字段的问题非常有帮助。

相关内容