Abbiamo diversi server Linux e Windows che utilizzano l'autenticazione LDAPS su un controller MS AD per le applicazioni che ospitano, che presenta un certificato firmato dalla nostra CA radice interna.
Recentemente, i controller AD hanno rinnovato automaticamente i loro certificati. Da questo momento in poi, la maggior parte dei server Linux ospitati non è riuscita ad autenticarsi su questo controller AD, mentre il server host di Windows ha continuato a funzionare.
Nulla su questi server è cambiato durante questo periodo, solo il certificato del controller AD, i certificati sub e root sono invariati.
Il nostro primo pensiero era che gli host Linux non avessero il certificato radice interno importato come affidabile, ma perché funzionava prima di allora?
Alcuni scavi hanno rivelato che questo controller AD non presenta l'intera catena di certificati, il che significa che manca il certificato CA radice.
L'importazione del certificato CA radice nella maggior parte dei sistemi lo ha risolto.
Come può aver funzionato prima del rinnovo su queste macchine Linux che NON hanno i certificati root / sub attendibili? Anche con una catena di certificati correttamente presentata, questa connessione non dovrebbe essere attendibile, in quanto la CA radice non è conosciuta dal sistema.
Purtroppo non ho accesso al certificato e alla catena che sono stati utilizzati prima, quindi non posso confrontarli, ma non sono state apportate modifiche alla lunghezza delle chiavi o simili.