Блог

Главная - Вопросы по программированию - WSO2 AD LDAP сломался после создания нового хранилища ключей wso2carbon.jks при установке нового сертификата

WSO2 AD LDAP сломался после создания нового хранилища ключей wso2carbon.jks при установке нового сертификата

#wso2is

#wso2-identity-server

Вопрос:

Создано новое хранилище ключей, когда я устанавливал новый сертификат. Общедоступный сертификат работает нормально, но ldap, похоже, сломался после того, как я создал новое хранилище ключей. Если я восстановлю старое хранилище ключей (wso2carbon.jks), его ldap работает нормально. Есть идеи, чего мне не хватает?

Обновление 2020/10/6

По-видимому, проблема была с паролем, который я ввел для ldap. Я вернулся в хранилище пользователей и обновил пароль (он должен был быть правильным, поскольку ничего не изменилось), и это сделало свое дело. У меня также возникла проблема с устаревшим сертификатом AD для хранилища пользователей, когда я вернулся к более старому снимку и не осознал этого. Поэтому я также добавил новый общедоступный сертификат из DC в хранилище ключей client-trust.jks. Также я воссоздал хранилище ключей wso2carbon.jks из нового набора сертификатов, которые я получил, используя приобретенные мной частные / общедоступные сертификаты. Кажется, теперь все работает нормально. Я думаю, что в WSO2 была какая-то странная ошибка, которая показывала, что он подключается к LDAP, несмотря на неправильный пароль в пользовательском хранилище после того, как я обновил сертификат. Не совсем уверен, что еще это могло быть, потому что, если пароль был неправильным, он вообще не должен был подключаться, но подключился. Действительно странно.

Комментарии:

1. Полагаю, вы используете LDAP вместо LDAP для подключения к AD. Для этого требуется, чтобы файл WSO2 client-trustore.jks содержал общедоступный сертификат сервера AD. Когда вы меняли wso2carbon.jks , вы тоже меняли client-trustore.jks ?

2. Да, я использую ldap для лучшей безопасности. Я не изменял свой клиент-truststore.jks, поскольку у него уже был общедоступный сертификат для моего сервера AD. Единственное, что я сделал, это воссоздал файл wso2carbon.jks, используя новый закрытый ключ и открытый ключ. Как я уже говорил ранее, возврат к старому хранилищу ключей (wso2carbon.jks) устраняет проблему ldap, но я никак не изменял и не модифицировал файл client-truststore.jks до или после создания нового файла wso2carbon.jks. Нужно ли мне добавлять что-либо в файл client-truststore.jks после создания нового файла wso2carbon.jks?