Tenemos varios servidores Linux y Windows que utilizan la autenticación LDAPS en un controlador MS AD para las aplicaciones que albergan, que presenta un certificado firmado por nuestra CA raíz interna.
Recientemente, los controladores AD renovaron sus certificados automáticamente. A partir de este momento, la mayoría de los servidores alojados en Linux no se autenticaron en este controlador AD, mientras que el servidor alojado en Windows siguió funcionando.
No se cambió nada en estos servidores durante ese tiempo, solo el certificado del controlador de AD, los certificados sub y root no han cambiado.
Nuestro primer pensamiento fue que los hosts de Linux podrían no tener el certificado raíz interno importado como confiable, pero ¿por qué funcionó antes de eso?
Algunas excavaciones revelaron que este controlador de AD no presenta la cadena de certificados completa, lo que significa que falta el certificado CA raíz.
La importación del certificado CA raíz a la mayoría de los sistemas lo solucionó.
¿Cómo puede haber estado funcionando antes de la renovación en estas máquinas Linux que NO tienen la raíz / certificados secundarios de confianza? Incluso con una cadena de certificados correctamente presentada, esta conexión no debe ser confiable, ya que el sistema no conoce la CA raíz.
Lamentablemente, no tengo acceso al certificado ni a la cadena que se ha utilizado anteriormente, por lo que no puedo compararlos, pero no hubo un cambio en la longitud de la clave o algo similar.