尝试使用 Next Active Directory Integration 插件让 Windows Active Directory DC(带有 SHA1 签名证书)接受来自 WordPress Server 的 LDAP(StartTLS)连接。WordPress 在 PHP 8.2.4 和 OpenSSL 3.0.8 上运行,默认情况下不再允许使用使用 SHA1 签名的证书。想知道是否可以为 Windows AD LDAP 配置多个/后备证书,以便在不更改 LDAP 客户端配置的情况下实现此功能。
答案1
虽然我不认为您可以强制 Windows 回退到较低标准的证书 - 这听起来像是另一个漏洞的种子 - 但您可以拥有多个 DC,每个 DC 上都有不同的证书,以满足您的场景。
据推测,您使用 SHA1 证书是因为您的一些旧应用程序无法与现代哈希算法一起使用?
假设只接受SHA1哈希算法的应用程序是少数:
- 创建一个 SHA1 自签名证书,供此旧应用程序与一个或两个 DC 之间使用;然后
- 将您的 PKI 升级到 SHA256,它可用于您的其余资产,包括您的 WordPress 网站。
或者,如果仅 SHA1 应用程序占多数:
- 为 WordPress 服务器访问的一个(或两个)新 DC 创建 SHA256 自签名证书;然后
- 找一面镜子,严厉地对自己说使用 SHA1 的风险;-)
答案2
无法将 Active Directory 配置为使用多个证书。您需要将 SHA1 签名的证书替换为 SHA256 签名的证书。或者将 WordPress/OpenSSL 3.0.1 或更高版本的组件配置为使用 SHA1 签名的证书。
SHA1 十多年前就被弃用了。主动采取措施比被迫进行一次升级要容易得多。