openLDAP ssl/tls Centos 6.3

Katerina Bubenickova katerina.bubenickova na plbohnice.cz
Čtvrtek Březen 20 08:40:03 CET 2014 

On Tue, 2014-03-18 at 15:39 +0100, Katerina Bubenickova wrote:
> Sláva


Jásala jsem předčasně, na zkušebním serveru, naklonovaném z produkčního,
$subj funguje, ale na produkčním serveru ne. 



funguje:
[root na test-LDAP] #ldapsearch -x -d 1 -H ldaps://test-LDAP.bohnice.cz
ldap_pvt_connect: fd: 3 tm: -1 async: 0
TLS: certdb config: configDir='/etc/openldap/tls'
tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
TLS: cannot open certdb '/etc/openldap/tls', error -8018:Unknown PKCS
#11 error.
TLS: skipping 'slapd.key' - filename does not have expected format
(certificate hash with numeric suffix)
TLS: skipping 'slapd.crt' - filename does not have expected format
(certificate hash with numeric suffix)
TLS: certificate
[E=bubenickova na bohnice.cz,CN=test-LDAP.bohnice.cz,O=PNB,L=Prague,ST=Czech
Republic,C=cz] is not valid - error -8172:Peer's certificate issuer has
been marked as not trusted by the user..
TLS certificate verification: subject:
E=bubenickova na bohnice.cz,CN=test-LDAP.bohnice.cz,O=PNB,L=Prague,ST=Czech
Republic,C=cz, issuer:
E=bubenickova na bohnice.cz,CN=test-LDAP.bohnice.cz,O=PNB,L=Prague,ST=Czech
Republic,C=cz, cipher: AES-256, security level: high, secret key bits:
256, total key bits: 256, cache hits: 0, cache misses: 0, cache not
reusable: 0
ldap_open_defconn: successful


nefunguje:
[root na openLDAP tls]# ldapsearch -x -d 1 -H ldaps://openLDAP.bohnice.cz
ldap_pvt_connect: fd: 3 tm: -1 async: 0
TLS: certdb config: configDir='/etc/openldap/tls'
tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
TLS: cannot open certdb '/etc/openldap/tls', error -8018:Unknown PKCS
#11 error.
TLS: skipping 'slapd.key.pem' - filename does not have expected format
(certificate hash with numeric suffix)
TLS: skipping 'tls.ldif' - filename does not have expected format
(certificate hash with numeric suffix)
TLS: loaded CA certificate file /etc/openldap/tls/8f4581a2.0 from CA
certificate directory /etc/openldap/tls.
TLS: skipping 'slapd.key' - filename does not have expected format
(certificate hash with numeric suffix)
TLS: skipping 'slapd.crt' - filename does not have expected format
(certificate hash with numeric suffix)
TLS: error: connect - force handshake failure: errno 0 - moznss error
-5938
TLS: can't connect: TLS error -5938:Encountered end of file.
-------



Produkční server je aktualizovaný, certifikáty jsem vytvářela stejně asi
s hodinovým odstupem (takže jsem to snad nestihla zapomenout), openldap
má na obou serverech stejné conf. soubory. 


Na obou serverech je knihovna
> nss-3.15.3-6.el6_5.x86_64 : Network Security Services
> Repo        : installed
> Matched from:
> Filename    : /usr/lib64/libnsspem.so,
kdyby to náhodou bylo důležité.

Na testovacím serveru bylo navíc nainstalováno gdb a debugovací balíčky
k openssl.

Zkoušela jsem vytvořit hash z klíčů, ale na zkušebním serveru to nebylo
potřeba a na produkčním to nepomohlo.
(Zdá se, že ze slapd.crt pochopil jenom CA certificate)


Znovu jsem zkusila vygenerovat db pro moznss, podle
>
https://www.centos.org/docs/5/html/CDS/ag/8.0/Managing_SSL-Using_certutil.html

když už teď vím, kde mají být cesty k certifikátům umístěné,
ale to taky nefungovalo (ani na jednom serveru)

Mám jedině nápad produkční server naklonovat znovu 
a zkusit překopírovat všechny konfiguráky z funkčního (kdybych přece jen
přehlídla nějaký rozdíl), 
a případně doinstalovat ty debugovací balíčky, 
ale kdyby někoho napadlo jednodušší řešení, tak bych to uvítala.


KB

Další informace o konferenci Linux