能否合理地配置OS上的OpenDirectory以使用来自现有CA的中间CA证书？

Question

我们正试图设置OpenDirectory。它似乎希望创建自己的CA，然后创建具有由自己的CA签名的证书的中间CA。我更愿意从我们现有的内部CA生成一个中间CA证书，并让它使用它。这将有几个好处(现有的CA证书已经分发到机器上，因此在将客户端连接到OD时，不需要单击信任新证书)。

但是，我找不到这个证书的任何配置，也找不到任何其他方法的引用。

这是一个合理的尝试，如果是的话，我如何做呢？

Answer 1

既然没人回答这个问题..。似乎是的，这是一个合理的做法，只要您匹配在自动生成的证书中使用的字段，它就能工作。我已经很久没修好这个了，所以我记不起所有的细节了。我记得的一件事是，在那个时候，OpenDirectory会拒绝使用具有128位序列号的证书。OSXServer5.0是第一个版本，很可能修复了这个问题。

我有一个用于此目的的OpenSSL配置，我将尝试对其进行消毒，如果有需求，它可以在这里发布。

required的证书解码器(在https://certlogik.com/decoder/ -http://redkestrel.co.uk上的其他有用的东西)在计算实际配置可能是什么以及识别串行字段的问题方面非常有帮助。