AWS Managed AD SSL 证书导出

Question

我正在尝试探索 AD 集成，并且能够成功完成 AWS blog post 中所述的设置，并从“管理框”验证 SSL 连接工作正常。

根据我的理解，来自管理框的 ldp.exe 工作正常，因为管理框已加入此 AD，并且证书已正确传播。

我有一个用例，其中另一个 linux 框（无法连接到 AD）但应该使用基于 SSL 的 LDAPS 进行一些用户搜索。为此，我需要导出 SSL 并将其安装在 Linux 框上。我不太明白如何在此示例中查找和导出证书？这些证书在 RootCA（或）SubordinateCA 上是否可用以及如何导出它们？感谢任何帮助。

Answer 1

我假设您是通过 Amazon Certificate Services (ACS) 在 AWS 中生成 SSL 证书的。尽管 ACS 不允许您从 ACS 导出私钥，但您应该不需要它。您需要做的就是将 public 证书导入您的 Linux 盒子在连接到 AD 服务器时使用的证书信任库。我无法告诉您该怎么做（不确定应用程序是什么），但您应该能够使用 openssl 提取 public 证书。您会将 openssl 指向广告服务器，并让它输出 public 证书。

我很确定这是可以执行此操作的 openssl 命令行： openssl s_client -showcerts -connect activedirectory.yourdomain.com:636

Answer 2

You can download the certificate from the ldaps end point and install it as follows.

Install openldap client
sudo yum install -y openldap-clients
•   Download and Add Server Certificate to the openldap cert path
        openssl s_client -connect <LDAPSURL>:636 -showcerts </dev/null 2>/dev/null | openssl x509 -outform PEM > server.crt
•   Configure LDAP Details
        Vi /etc/openldap/ldap.conf
        BASE dc=corp,dc=example,dc=com
        URI ldaps://corp.example.com
        TLS_CACERT /etc/openldap/certs/server.crt