ldap - 在 inetOrgPerson 的 userSMIMECertificate 属性中添加证书

Question

我将使用 LDAP 为我的电子邮件发布证书。我已经在 Windows 2012 上启动并运行了 LDAP (AD LDS)。我将使用 ldif 文件添加记录。

这里是它的内容

dc: dc=mysubdomain,dc=mydomain,dc=com

dn: dc=mysubdomain,dc=mydomain,dc=com
objectClass: top
objectClass: domain
dc: mydomain
dc: mysubdomain
description: Some root stuff

dn: ou=mysubdomaincertificates,dc=mysubdomain,dc=mydomain,dc=com
objectClass: top
objectClass: organizationalUnit
ou: mysubdomaincertificates

dn: Mail=test@mysubdomain.mydomain.com,ou=mysubdomaincertificates,dc=mysubdomain,dc=mydomain,dc=com
objectClass: top
objectClass: person
objectClass: inetOrgPerson
cn: Test Test
sn: Test
Mail: test@mysubdomain.mydomain.com
userSMIMECertificate: #<What to put?>

我一直在编译我的 ldif 文件。据我了解，我需要在 Base64 中添加一些二进制编码，并带有一些前缀 {CERT} 或其他东西。

我的问题是

1. 这个 ldif 文件会对目录进行修改吗？
2. userSMIMECertificate除了领域 ，我有问题吗？
   • 例如，我在域对象中使用了 dc 两次，可以吗？
   • 我错过了其他重要的线路吗？
3. 将证书内容放入的确切语法是什么userSMIMECertificate？（我已经进行了搜索，但找不到示例）

Answer 1

这是您的 LDIF 进行了适当的更改：

dn: dc=mysubdomain,dc=mydomain,dc=com
changetype: add
objectClass: top
objectClass: domain
dc: mysubdomain
description: Some root stuff

dn: ou=mysubdomaincertificates,dc=mysubdomain,dc=mydomain,dc=com
changetype: add
objectClass: top
objectClass: organizationalUnit
ou: mysubdomaincertificates
description: Provide some descriptive text here.

dn: Mail=test@mysubdomain.mydomain.com,ou=mysubdomaincertificates,dc=mysubdomain,dc=mydomain,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: inetOrgPerson
cn: Test Test
sn: Test
Mail: test@mysubdomain.mydomain.com
userSMIMECertificate: file:///path-cert-file

Answer 2

作为对 Terry Gardner 现有答案的有用补充

为避免您的 ldif 依赖于外部文件，您可能希望以这种方式指定 userSMIMECertificate：

userSMIMECertificate:: Q29udGVudC1EaXNwb3NpdGlvbjogYXR0YWNobWVudDsKCWZpbGVuY
 W1lPXNtaW1lLnA3cwpDb250ZW50LVR5cGU6IGFwcGxpY2F0aW9uL3BrY3M3LXNpZ25hdHVyZTsK
[...]

这基本上是 base64 编码的文件内容。

为了摆脱文件依赖，最简单的方法是导入带有文件依赖的ldif，然后将对象导出到新的ldif。导出应创建上述格式。