8.2. 将 CA 证书转换为 PEM 格式

在 Identity service (keystone)中配置 LDAP 之前，您必须将 CA 证书转换为 PEM 格式。

流程

创建名为 /path/cacert.pem 的文件，并包含 LDAP 查询均是从 Active Directory 获取的 CA 证书的内容，在标头和页脚内：
```
-----BEGIN CERTIFICATE-----
MIIDbzCCAlegAwIBAgIQQD14hh1Yz7tPFLXCkKUOszANB... -----END
CERTIFICATE-----
```
要进行故障排除，您可以执行以下查询来检查 LDAP 是否正常工作，并确保已正确创建 PEM 证书文件。
```
LDAPTLS_CACERT=/path/cacert.pem ldapsearch -xLLL -ZZ -H $LDAPURL -s base -b "" "objectclass=*" currenttime
```
查询应返回类似如下的结果：
```
dn: currentTime:
20141022050611.0Z
```
运行以下命令，如果 CA 证书由 Web 服务器托管，则获取 CA 证书。
- $HOST=redhat.com
- $PORT=443
  # echo Q | openssl s_client -connect $HOST:$PORT | sed -n -e '/BEGIN CERTIFICATE/,/END CERTIFICATE/ p'