Keycloak使用群晖Synology Directory Server作为AD/LDAP用户数据源
这又是keycloak的另外一个大坑。keycloak并不会自动创建一系列SSL证书相关的配置,都要自己手撸。
如果还没安装keycloak,可以参考前一篇文章『Docker Compose安装Keycloak』
然后,你的群晖要先把AD配置好,这里就不重复了。
1、获得群晖AD对应的SSL证书
首先,要把群晖为AD所生产的自签名SSL证书下载回来,后面需要用。
位置:群晖DSM管理后台-控制面板-安全性-证书。如果不太确定是哪张证书,可以点击『设置』,找到『Synology Directory Server』对应的证书下拉。
在对应的证书上点击右键,选择『导出证书』
导出的证书解压后有两个文件,一个是证书本身cert.pem,另外一个是证书的私钥privkey.pem,我们需要用到的是cert.pem
💡UPDATE
另外一个使用OpenSSL来获取证书的方法(方便不支持导出的LDAP服务器)
openssl s_client -showcerts -verify 5 -connect