马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
Applies to Domino9.0.1.* Domino10.0.1.* Domino 11
Issue
近期AD服务器上的证书过期,向第三方证书中心申请了新的根证书和中级证书,Domino管理员再次根据上述文档进行配置,Domino与AD通过SSL通信却失败了。
Cause 建议客户在Domino服务器启用如下的debug参数,并在Domino服务器端收集了WireShark数据。 DEBUG_HTTP_SERVER_SPNEGO=5
DEBUG_SSL_ALL=3
DEBUG_SSL_HANDSHAKE=1
DEBUG_SSO_TRACE_LEVEL=2 在Console文件中可以看到如下的错误信息,说明AD返回的证书包含格式不正确的名称。
[0D3C:0005-26C4] 2019/12/26 14:47:14.55 SSLCheckCertChain> Invalid certificate chain received
[0D3C:0005-26C4] Cert Chain Evaluation Status: err: 11515, An improperly formed name was encountered
在Wireshark数据中,可以看到如下的信息,AD返回证书的 Subject显示为 0 items,表示Subject为空。
基于以上信息,我们找到如下的博客,详细描述了为什么第三方应用通过SSL连接微软AD服务器失败的原因。 简单的说,当微软AD服务器域控制器使用的证书是基于域控制器模板版本1生成的,第三方LDAP客户端通过SSL连接微软AD服务器是成功的;但当微软AD服务器域控制器使用的证书是基于域控制器模板版本2生成的,默认情况下,“域控制器身份验证”证书的“主题”(Subject)字段将为空,并且该证书的“Subject Alternate Name (SAN)”字段将标记为“关键”,这个更改是为了符合RFC 3280协议(Internet X.509公钥基础设施,2002年4月)。而如果第三方应用不支持RFC 3280协议,验证就会失败。
Resolution 这是DominoV11(含)之前的版本的一个已知的限制,这些Domino版本不支持只依赖Subject Alternative Name(SAN)字段而缺少subjectName字段的X.509证书。 在Domino11.0.1中添加对 SAN only 证书的支持。
用户可以升级Domino服务器到11.0.1版本(或者更新的版本)来解决此问题。 如果暂时不能升级,变通的解决方法是,参考上述博客,在AD服务器域名控制器认证证书的模板中,您可以将“Subject”字段从“none”改为“common”。然后可以向域名控制器颁发一个新的域名控制器认证证书。在这个新证书中,“Subject”字段包含机器的DNS名称, “SAN”字段也不会标记为“关键”,然后删除旧域名控制器认证证书,重启AD服务器。
| 
|手机版|小黑屋|HCL 中文技术社区
( 沪ICP备17044822号 )
发表于 2021-3-17 09:26:47
提升卡
置顶卡