Umstellung beendet: Server-Zertifikate auf den OpenLDAP-Servern der GWDG für ldap.gwdg.de/ldap2.gwdg.de

Meldungsnummer: 202206301754
Zeitraum: 30.06.2022 ab 17:45 Uhr
Betroffen: Anwendungen und Services mit Anbindung an den OpenLDAP-Verzeichnisdienst über ldap.gwdg.de/ldap2.gwdg.de
Auswirkungen: LDAP-Clients können sich nur noch mit der CA-Zertifikatskette der GÉANT TCS PKI gegenüber ldap.gwdg.de/ldap2.gwdg.de über SSL verbinden

Heute Donnerstag, den 30. Juni 2022 wurden während des Wartungsfensters von 17:00 Uhr bis 17:45 Uhr auf den OpenLDAP-Servern der GWDG für ldap.gwdg.de/ldap2.gwdg.de die Server-Zertifikate auf GÉANT TCS PKI umgestellt.

Besteht für die LDAP-Clients Handlungsbedarf?
LDAP-Clients benötigen keine Umstellung, wenn sie die automatisch von den OpenLDAP-Servern bereitgestellte CA-Zertifikatskette verwenden. Für LDAP-Clients, die eine lokale Hinterlegung der CA-Zertifikatskette verlangen, muss bis zum 30. Juni 2022 die aktuelle DFN-PKI-Zertifikatskette um die GÉANT TCS PKI-Zertifikatskette ergänzt werden. Denn ab dann können sich solche LDAP-Clients nur noch erfolgreich mit den OpenLDAP-Servern unter ldap.gwdg.de/ldap2.gwdg.de über SSL verbinden, wenn die CA-Zertifikatskette der GÉANT TCS PKI ebenfalls eingebunden wurde.

Wo erhalte ich die neue GÉANT CA-Zertifikatskette?
Die neue CA-Zertifikatskette kann über die gwdu60.gwdg.de unter /usr/local/etc/openldap/ldap-ca.pem oder unter https://owncloud.gwdg.de/index.php/s/5npQO2j2OnBqXU2 heruntergeladen werden. In dieser Datei sind alte und neue CA-Zertifikatskette enthalten, um eine einfache Umstellung auf der Client-Seite im Übergangszeitraum zu ermöglichen.

Gibt es eine Übergangslösung?
Alle LDAP-Clients können sich unter Verwendung der o.g. Datei, die beide CA-Zertifikatsketten enthält, problemlos weiter über die bekannten LDAP-Load-Balancing-Server ldap.gwdg.de/ldap2.gwdg.de mit den OpenLDAP-Servern über SSL erfolgreich verbinden. Nach dem 30. Juni kann die dann überflüssige DFN-CA-Zertifikatskette entfernt werden, die GWDG wird im Juli eine bereinigte Datei bereitstellen.

Damit die Funktion der neuen GÉANT CA-Zertifikatskette bzw. der o.g. Datei mit den kombinierten CA-Zertifikatsketten vorab überprüft werden kann, wurde eine LDAP-Server-Umgebung mit dem GÉANT TCS PKI-Serverzertifikat aufgebaut, die über ldap-geant.gwdg.de erreichbar ist. Für LDAP-Clients, die eine CA-Zertifikatskette benötigen, wird empfohlen, über ldap-geant.gwdg.de die Authentifizierung zu testen. Nach dem 30.06.2022 ist ldap-geant.gwdg.de mit ldap.gwdg.de identisch.