openldaps curinga certificado não aceito

5

meu certificado curinga não é aceito com o ldap 2.4.23. quando eu tento conectar recebo o seguinte erro:

TLS certificate verification: subject:
OID.2.5.29.17=DNS:*.domain.com,CN=*.domain.com,OU=LALALA,O=LALALA S.A.,L=LALALA,ST=LALALA,C=XX,
issuer: [email protected],CN=LALALA Root C.A.,O=LALALA,L=LALALA,ST=LALALA,C=XX,
cipher: AES-256, security level: high, secret key bits: 256, total key bits: 256,
cache hits: 0, cache misses: 0, cache not reusable: 0
TLS: hostname (openldap1.domain.com) does not match common name in certificate (*.domain.com).

meu certificado é: CN=*.domain.com AND subjectAltName=DNS:*.domain.com

Como posso fazer com que meu certificado seja aceito no LDAP?

    
por JMW 01.09.2011 / 09:42

1 resposta

0

Primeiro eu encontrei uma página dizendo que, wildcards no CN não funcionam com o openldap e você tem que usar subjectAltName ! (Eu não consigo mais encontrar essa página ...)

infelizmente, eu criei o certificado como este, que não é o subjectAltName, que você precisa:

[ req_distinguished_name ]
subjectAltName                =Alternativer Name 1
subjectAltName_default        =DNS:*.domain.com

é por isso que está exibindo OID.2.5.29.17 ao invés de subjectAltName ...

Eu encontrei a resposta para subjectAltName em: link

After studing of "RFC 2459 - Section 4.2.1.7: Subject Alternative Name" and crossreferencing to the result of isakmpd's certpatch(8) the following should work: [...] To accomplish such an CSR the following entries are needed in the openssl.cnf (please note: I only added the relevant parts for this Attribute)

[ req ]
req_extensions          = v3_req
[ v3_req ]
subjectAltName          = DNS:www.example.com
    
por 12.09.2011 / 18:33