LDAP 服务器上的 SLL 证书最近已过期,因此无法通过 ssh 连接到严格依赖 LDAP 中继的其他 Linux 计算机。
作为一个自签名证书,我的理解是它无法更新。
我知道我需要生成一个新的证书,当旧的 SSL 已经过期而无法进行远程身份验证时,有什么想法可以解决这个问题,那就是如何在客户端机器上传输该证书?
答案1
您可以使用以下方式在客户端上检索证书
openssl s_client -CApath /etc/ssl/certs -verify 10 \
-connect '<host>:<port>' 2>&1 < /dev/zero | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' \
> foo.pem
foo.pem
然后就可以放入客户端的信任库中。
我建议使用由 CA 签名的证书,即使它是你自己的 CA(可以轻松管理微型CA)。
主要的优点是您可以导入 CA 根证书,而不必再担心信任主机证书。