Hallo,
ich bin auf ein ähnliches Problem gestoßen, als ich unsere AD Anbindung auf SSL umstellen wollte. Alle Keys inkl. Root-CA korrekt hinterlegt und keine Verbindung zum AD. M.E. liegt es nicht an der Zertifikatskette, sondern an den von den AD-Controllern verwendeten Zertifikaten bzw. dem Handling dieser Zertifikate in checkmk.
Seit Windows 2003 folgen die Zertifikate im AD der RFC 3280. D.h. die Zertifikate haben ein leeres Subject und verwenden stattdessen das SAN Feld. Das Python-Modul vom checkmk, welches die LDAP Anbindung macht, wertet aber nur das Subject zur Validierung des Zertifikats aus. Ist dieses leer, schlägt diese Validierung fehl.
Aus diesem Dilemma gibt es m.E. mehrere Auswege:
- Auf den AD Controllern bzw. in der CA das Template anpassen, so dass das Subject mit dem FQDN gesetzt wird.
- Das Python-Modul dazu bringen Zertifikate nach RFC 3280 korrekt zu validieren.
- Das Python-Modul dahingehend modifizieren, dass es keine Validierung vornimmt.
Letzteres ist mit einer Codezeile realisiert und vorerst meine Lösung. Sollte es einen besseren Weg geben, bin ich für Hinweise dankbar.