LDAPサーバーのSLL証明書は最近期限切れになり、LDAPで厳密に中継する他のLinuxマシンにSSH接続できなくなりました。
自己署名証明書なので、更新できないと理解しています。
新しい証明書を生成する必要があることを知っているので、古いSSLがすでに期限切れになっているためにリモート認証が不可能な場合に、その証明書をクライアントマシンに転送する方法について何かアイデアはありますか?
クライアントで証明書を取得するには、
openssl s_client -CApath /etc/ssl/certs -verify 10 \
-connect '<Host>:<port>' 2>&1 < /dev/zero | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' \
> foo.pem
foo.pem
は、クライアントのトラストストアに配置できます。
自分のCAであっても、CAによって署名された証明書を使用することをお勧めします( TinyCA で簡単に管理できます)。
主な利点は、CAルート証明書をインポートでき、ホスト証明書の信頼について心配する必要がなくなることです。