Certificates

ldap userCertificate 屬性的問題

  • May 29, 2019

我正在嘗試使用“userCertificate”屬性來保存“der”文件。我可以愉快地使用 ldif 添加我的證書:

dn:cn=bob,ou=users,dc=home

changetype:修改

add:userCertificate;binary

userCertificate;binary:<file:///home/bob/cert.der

當我進行 ldapsearch 時,我看到我的證書採用 base64 編碼,生活似乎很好。但是當我嘗試使用 ldapcompare 時:

ldapcompare -D"cn=admin,dc=home" -W “cn=bob,ou=users,dc=home” “userCertificate;binary:<file:///home/bob/cert.der”

我得到錯誤:

比較結果:無效語法 (21)

附加資訊:無法標準化匹配

UNDEFINED的值

如果我嘗試使用 base64 編碼進行比較,我會得到同樣的錯誤

ldapcompare -D"cn=admin,dc=home" -W “cn=bob,ou=users,dc=home” “userCertificate:: base64encodedStringOfStuff”

有任何想法嗎?

我剛收到這個錯誤:ldap_modify:未定義的屬性類型(17)附加資訊:usercertificate:需要;二進制傳輸。

此錯誤消息非常清楚地引用了RFC 4523 第 2.1 節中的規定。在影響屬性userCertificate的所有 LDAP 操作中,您只需始終附加;binary到屬性名稱。

ldap_msgfree ldap_err2string 比較結果:無效語法 (21) 附加資訊:無法標準化匹配 UNDEFINED 的值

使用比較操作時,您必須查看哪個EQUALITY匹配規則可用於斷言屬性。

在子模式中userCertificateEQUALITY certificateExactMatch根據頒發者名稱和序列號聲明的(請參閱RFC 4523 第 2.5 節),這意味著該屬性沒有可用的純八位字節字元串匹配。

因此,您需要從證書中提取十進制序列號和頒發者 DN(LDAP 字元串表示):

$ openssl x509 -noout -nameopt rfc2253 -serial -issuer -inform der -in ~/certs/michael@stroeder.com.cer 
serial=0F560E
issuer=CN=StartCom Class 1 Primary Intermediate Client CA,OU=Secure Digital Certificate Signing,O=StartCom Ltd.,C=IL

將本例中的十六進制序列轉換為十進制,1005070並像這樣呼叫ldapcompare

ldapcompare "cn=Michael Ströder+mail=michael@stroeder.com,dc=stroeder,dc=de" 'userCertificate;binary:{ serialNumber 1005070, issuer "cn=StartCom Class 1 Primary Intermediate Client CA,ou=Secure Digital Certificate Signing,o=StartCom Ltd.,c=IL"}'
TRUE

補充筆記:

  • 請注意,DN 是複雜的野獸,需要在 shell 命令行上進行特殊處理的特殊字元轉義。因此,我會為此任務使用腳本語言來避免一些麻煩。
  • 與修改操作和屬性檢索相反,比較操作不需要;binary傳輸類型。但是對於 OpenLDAP,它也不會受到傷害。不確定其他 LDAP 伺服器實現。

引用自:https://unix.stackexchange.com/questions/431944