我有一个客户,他的 Linux 服务器无法通过端口 636 连接到远程 AD 服务器,这似乎是由于它没有客户端证书。远程 AD 服务器和 Linux 服务器都具有由同一 CA 颁发的证书。
在 Wireshark 中检查连接尝试时,Linux 服务器向 AD 服务器 hello 发送证书长度为 0 的响应,请求客户端证书。AD 服务器以更改密码规范加密的握手消息进行响应,Linux 服务器以 FIN、ACK 进行响应,AD 服务器以 ACK 进行响应,然后以 RST、ACk 进行响应,这似乎半关闭了连接。
使用 Apache Directory Studio 进行测试时,在 Wireshark 中,我看到 AD 服务器的 Server Hello 中有相同的客户端证书请求,而 Apache Directory Studio 的客户端响应中证书长度为 0,但是在远程 AD 服务器和 Apache Directory Studio 发送更改密码规范加密的握手消息后,连接成功。
我正在尝试测试该问题,我想知道是否可以将 AD 配置为需要客户端证书进行身份验证,以及在哪里配置它,或者这个请求是否由 AD 自动发送?
答案1
问题的原因是我们的应用程序不符合 RFC 3280 但域控制器身份验证证书模板符合。