HCL 中文技术社区

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 2700|回复: 0

【Note&Domino】在Domino服务器上配置目录服务(Directory Assistance...

[复制链接] TA的帖子

11

主题

11

帖子

53

积分

超级版主

Rank: 8Rank: 8

积分
53
发表于 2021-3-17 09:26:47 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
Applies to
Domino9.0.1.* Domino10.0.1.* Domino 11

Issue
用户之前根据下述文档,在Domino服务器上配置目录服务(Directory Assistance),将Domino服务器作为LDAP客户端和外部LDAP(微软AD)服务器通过SSL通信,是成功的。
https://support.hcltechsw.com/csm?id=kb_article&sys_id=21b53f881b69b30083cb86e9cd4bcbbc

近期AD服务器上的证书过期,向第三方证书中心申请了新的根证书和中级证书,Domino管理员再次根据上述文档进行配置,Domino与AD通过SSL通信却失败了。

Cause
建议客户在Domino服务器启用如下的debug参数,并在Domino服务器端收集了WireShark数据。
DEBUG_HTTP_SERVER_SPNEGO=5
DEBUG_SSL_ALL=3
DEBUG_SSL_HANDSHAKE=1
DEBUG_SSO_TRACE_LEVEL=2
在Console文件中可以看到如下的错误信息,说明AD返回的证书包含格式不正确的名称。
[0D3C:0005-26C4] 2019/12/26 14:47:14.55 SSLCheckCertChain> Invalid certificate chain received
[0D3C:0005-26C4] Cert Chain Evaluation Status: err: 11515, An improperly formed name was encountered

在Wireshark数据中,可以看到如下的信息,AD返回证书的 Subject显示为 0 items,表示Subject为空。


基于以上信息,我们找到如下的博客,详细描述了为什么第三方应用通过SSL连接微软AD服务器失败的原因。 简单的说,当微软AD服务器域控制器使用的证书是基于域控制器模板版本1生成的,第三方LDAP客户端通过SSL连接微软AD服务器是成功的;但当微软AD服务器域控制器使用的证书是基于域控制器模板版本2生成的,默认情况下,“域控制器身份验证”证书的“主题”(Subject)字段将为空,并且该证书的“Subject Alternate Name (SAN)”字段将标记为“关键”,这个更改是为了符合RFC 3280协议(Internet X.509公钥基础设施,2002年4月)。而如果第三方应用不支持RFC 3280协议,验证就会失败。

Resolution
这是DominoV11(含)之前的版本的一个已知的限制,这些Domino版本不支持只依赖Subject Alternative Name(SAN)字段而缺少subjectName字段的X.509证书。 在Domino11.0.1中添加对 SAN only 证书的支持。

用户可以升级Domino服务器到11.0.1版本(或者更新的版本)来解决此问题。 如果暂时不能升级,变通的解决方法是,参考上述博客,在AD服务器域名控制器认证证书的模板中,您可以将“Subject”字段从“none”改为“common”。然后可以向域名控制器颁发一个新的域名控制器认证证书。在这个新证书中,“Subject”字段包含机器的DNS名称, “SAN”字段也不会标记为“关键”,然后删除旧域名控制器认证证书,重启AD服务器。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|HCL 中文技术社区 ( 沪ICP备17044822号 )

GMT+8, 2022-12-7 11:39 , Processed in 1.055543 second(s), 21 queries .

快速回复 返回顶部 返回列表