Как получить сертификат SSL для сервера LDAP с помощью StartTLS? ⇐ JAVA

[Anonymous]

Обновление: начиная с OpenSSL 1.1.1w (сентябрь 2023 г.), -starttls ldap работает, например:

Код: Выделить всё

openssl s_client -showcerts -connect myhost:389 -starttls ldap < /dev/null > myhost.certs
# show first cert in chain:
openssl x509 -in myhost.cert -text

Я пытаюсь настроить свое приложение для доступа к серверу LDAP, который прослушивает только порт 389, используя расширение StartTLS в целях безопасности. Я хочу получить копию сертификата SSL, чтобы указать его как известный сертификат (в файле jssecacerts, поскольку мое приложение написано на Java).
Если бы оно работало на порту 636, я бы использовал openssl следующим образом:

Код: Выделить всё

openssl s_client -host myhost -port 636

и получить сертификат из вывода.
Моей первой задачей было попробовать использовать:

Код: Выделить всё

openssl s_client -host myhost -port 389 -starttls ...

но он не поддерживает версию starttls для LDAP.
Затем я попробовал использовать ldapsearch с высоким уровнем отладки:

Код: Выделить всё

ldapsearch -ZZ -h myhost -d99 ...

и я увидел, что передаваемые по сети данные включают сертификат, но он не в той форме, которую я знаю, как использовать.
Есть ли простой способ получить сертификат с помощью инструментов командной строки или короткой программы? (Мне не особо важно, какой язык, но Java был бы идеален)

Подробнее здесь: https://stackoverflow.com/questions/188 ... g-starttls