* [sisyphus] OpenLDAP плюс TLS. Глюк.
@ 2004-05-06 11:20 Alexey Borovskoy
2004-05-07 10:29 ` vserge
0 siblings, 1 reply; 2+ messages in thread
From: Alexey Borovskoy @ 2004-05-06 11:20 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 1557 bytes --]
Добрый вечер.
Исходные данные:
openldap-servers-2.1.26-alt3.1
openldap-clients-2.1.26-alt3.1
openldap-2.1.26-alt3.1
openssl-0.9.6m-alt1
Не могу понять как запустить TLS. Создал CA, создал запрос на
сертификат сервера, подписал запрос. Получил: CA Cert, Server
Cert, Server Key.
openssl verify и openssl s_server + openssl s_client ничего
странного не замечают.
Делаю cat CA Cert Server Cert Server Key >slapd.pem, который
кладу вместо сгенеренного автоматически при установке пакета (с
ним тоже не работает). Здесь без разницы, можно и россыпью - все
равно не работает.
Раскомментирую TLSCipherSuite, TLSCertificateFile,
TLSCertificateKeyFile, TLSCACertificateFile
При запуске сервера получаю мину:
# slapd -d 5 -h 'ldap://alb.home ldaps://alb.home'
>>> dnNormalize: <cn=Subschema>
<<< dnNormalize: <cn=subschema>
TRANSPORT:: ldap_pvt_tls_init_def_ctx: TLS private key mismatch.
TRANSPORT:: tls_report_error: TLS error:0B080074:x509 certificate
routines:X509_check_private_key:key values mismatch
x509_cmp.c:383
TRANSPORT:: tls_report_error: TLS error:140A80BE:SSL
routines:SSL_CTX_check_private_key:no private key assigned
ssl_lib.c:670
SLAPD:: main: tls init def ctx failed: -1
SLAPD:: main: slapd stopped.
Если вместо CA Cert подсунуть Server Cert (как прокатывало в
2.0.x), то сервер запускается но клиентов не пускает и говорит
что не может проверить сертификат.
Что я делаю не так? Что нужно подкрутить чтобы эта конструкция
заработала?
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [sisyphus] OpenLDAP плюс TLS. Глюк.
2004-05-06 11:20 [sisyphus] OpenLDAP плюс TLS. Глюк Alexey Borovskoy
@ 2004-05-07 10:29 ` vserge
0 siblings, 0 replies; 2+ messages in thread
From: vserge @ 2004-05-07 10:29 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Добрый день
Алексей занеси ее пожалуйста в BTS
Вы написали Alexey Borovskoy <alexey_borovskoy@mail.ru> Fri, 7 May 2004
00:20:00 +1300:
> Добрый вечер.
>
> Исходные данные:
> openldap-servers-2.1.26-alt3.1
> openldap-clients-2.1.26-alt3.1
> openldap-2.1.26-alt3.1
> openssl-0.9.6m-alt1
>
> Не могу понять как запустить TLS. Создал CA, создал запрос на
> сертификат сервера, подписал запрос. Получил: CA Cert, Server
> Cert, Server Key.
>
> openssl verify и openssl s_server + openssl s_client ничего
> странного не замечают.
>
> Делаю cat CA Cert Server Cert Server Key >slapd.pem, который
> кладу вместо сгенеренного автоматически при установке пакета (с
> ним тоже не работает). Здесь без разницы, можно и россыпью - все
> равно не работает.
>
> Раскомментирую TLSCipherSuite, TLSCertificateFile,
> TLSCertificateKeyFile, TLSCACertificateFile
>
> При запуске сервера получаю мину:
> # slapd -d 5 -h 'ldap://alb.home ldaps://alb.home'
> >>> dnNormalize: <cn=Subschema>
> <<< dnNormalize: <cn=subschema>
>
> TRANSPORT:: ldap_pvt_tls_init_def_ctx: TLS private key mismatch.
>
> TRANSPORT:: tls_report_error: TLS error:0B080074:x509 certificate
> routines:X509_check_private_key:key values mismatch
> x509_cmp.c:383
>
> TRANSPORT:: tls_report_error: TLS error:140A80BE:SSL
> routines:SSL_CTX_check_private_key:no private key assigned
> ssl_lib.c:670
>
> SLAPD:: main: tls init def ctx failed: -1
>
> SLAPD:: main: slapd stopped.
>
> Если вместо CA Cert подсунуть Server Cert (как прокатывало в
> 2.0.x), то сервер запускается но клиентов не пускает и говорит
> что не может проверить сертификат.
>
> Что я делаю не так? Что нужно подкрутить чтобы эта конструкция
> заработала?
>
--
Господа, если встретите переводчика [k3b], пригласите его в kde-russian@ на
принудительную консультацию, пожалуйста.
-- avp in sisyphus@
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2004-05-07 10:29 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-05-06 11:20 [sisyphus] OpenLDAP плюс TLS. Глюк Alexey Borovskoy
2004-05-07 10:29 ` vserge
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git