我正在 OpenLDAP 上设置 SSL/TLS,想知道为什么Debian 手册用户是否创建了自签名证书?由“真实” CA 签名的证书不是更安全吗?
答案1
我认为这完全取决于谁和什么连接到您的 LDAP 服务器。每个通过 LDAPS 连接的客户端应该验证证书是否由受信任的机构签名。并非所有机构都这样做。(这就是 EEAA 所指的)自签名证书默认不受信任。因此,需要将其导入受信任的机构列表才能正常工作。
如果要连接到 LDAP 服务器的机器/软件在您的管理控制之下,那么自签名是可行的。您需要将证书导入该应用程序的信任存储区。(操作系统级别、Java JVM cacerts 等)这可能很琐碎(例如:具有 GroupPolicy 的 Windows),也可能非常烦人(HP 打印机可以使用 LDAP 进行电子邮件扫描……但它们在证书方面很糟糕)。如果您有使用此 LDAP 服务器的 BYOD/随机不受控制的机器……那么受信任的 CA 证书应该对它们“有效”,而无需单击警告或导入证书。