LDAP 服务器证书可以 CA 签名或自签名。本节介绍了如何对证书进行初始配置,以及如何在以前的证书到期时管理新证书。
有关可信证书的更多信息,请参见配置证书中关于可信证书的各节。
您可以提供可信 CA 证书列表。由这些可信 CA 颁发的 LDAP 服务器证书不需要特殊管理。
如果 LDAP 服务器的证书不是由可信 CA 颁发的,则无论该证书是由 CA 颁发的还是自签名的,都将要求您检查和批准该证书。"Accept LDAP Server Certificate"(接受 LDAP 服务器证书)对话框将显示有关该证书的信息,并请求您接受或拒绝该证书。如果您接受该证书,则该证书将添加到可信证书列表中。
如果您单独接受了证书(CA 签名证书或自签名证书),则 LDAP 服务器的证书到期时,您必须批准新证书。选择服务器,测试连接,然后检查并批准新证书。请参见“批准新 LDAP 服务器证书-BUI、CLI”。
如果提供 CA 证书,则会自动处理单个服务器证书中的更改。当您的服务器更改 CA 证书时,请确保在 LDAP 服务器开始使用新 CA 证书之前先将其添加到设备中。如果服务器在您将新 CA 证书添加到设备之前就开始使用该证书,则 LDAP 服务将会中断。