我下载了一个 TurnKey Linux OpenLDAP vm 实例。它现在在 vm 中运行。我使用它通过网络进行用户帐户身份验证。客户端计算机是一台原版 CentOS 7 计算机。两台计算机上的所有内容均由 OpenLDAP 和 OpenSSL 实现。
据我所知,服务器端的所有配置似乎开箱即用(这是 TurnKey Linux 发行版的整个概念)。我可以通过网络访问其 Web 管理界面,除了无法从客户端计算机进行身份验证之外,一切似乎都很好。
我相信我已经在客户端机器上正确设置了所有内容,但有一个事实除外:客户端上的 SSL 详细信息设置不正确,而我对此不太了解。我想使用我自己的证书和我自己的权利
尝试su username从客户端计算机执行此操作会使 shell 挂起几秒钟(好像在等待某事)。然后用户身份验证失败,而不是在我输入无意义的用户时立即退出。
经过调查,我在我的系统日志中发现了以下条目:
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> ldap_start_tls_s() failed (uri=ldap://192.168.254.104): Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> failed to bind to LDAP server ldap://192.168.254.104: Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> no available LDAP server found: Connect error
Nov 15 22:51:03 localhost.localdomain nslcd[16976]: [a5ee64] <group/member="root"> no available LDAP server found: Server is unavailable
如何使证书颁发者在客户端计算机上“受信任”?我需要采取哪些步骤来实现这一点?我对 SSL 完全一窍不通,老实说,在网上阅读了很多资料后,我仍然对如何补救这种情况感到很困惑。
答案1
您需要将证书文件添加到受信任的证书存储区。我目前手头没有 CentOS VM,但如果我记得清楚,它使用包含纯文本 X509 证书和.crt文件扩展名的普通目录。
它可能位于 下的某个位置/etc/ssl。只需在那里浏览或使用,find直到找到所有其他受信任证书的位置。应该有不少。如果您有证书,只需将其复制到该位置并确保权限与其他受信任证书相同。