[sisyphus] OpenLDAP плюс TLS. Глюк.

ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed

* [sisyphus] OpenLDAP плюс TLS. Глюк.
@ 2004-05-06 11:20 Alexey Borovskoy
  2004-05-07 10:29 ` vserge
  0 siblings, 1 reply; 2+ messages in thread
From: Alexey Borovskoy @ 2004-05-06 11:20 UTC (permalink / raw)
  To: sisyphus

[-- Attachment #1: Type: text/plain, Size: 1557 bytes --]

Добрый вечер.

Исходные данные:
openldap-servers-2.1.26-alt3.1
openldap-clients-2.1.26-alt3.1
openldap-2.1.26-alt3.1
openssl-0.9.6m-alt1

Не могу понять как запустить TLS. Создал CA, создал запрос на 
сертификат сервера, подписал запрос. Получил: CA Cert, Server 
Cert, Server Key.

openssl verify и openssl s_server + openssl s_client ничего 
странного не замечают.

Делаю cat CA Cert  Server Cert  Server Key >slapd.pem, который 
кладу вместо сгенеренного автоматически при установке пакета (с 
ним тоже не работает). Здесь без разницы, можно и россыпью - все 
равно не работает.

Раскомментирую TLSCipherSuite, TLSCertificateFile, 
TLSCertificateKeyFile, TLSCACertificateFile

При запуске сервера получаю мину:
# slapd -d 5 -h 'ldap://alb.home ldaps://alb.home'
>>> dnNormalize: <cn=Subschema>
<<< dnNormalize: <cn=subschema>

TRANSPORT:: ldap_pvt_tls_init_def_ctx: TLS private key mismatch.

TRANSPORT:: tls_report_error: TLS error:0B080074:x509 certificate 
routines:X509_check_private_key:key values mismatch 
x509_cmp.c:383

TRANSPORT:: tls_report_error: TLS error:140A80BE:SSL 
routines:SSL_CTX_check_private_key:no private key assigned 
ssl_lib.c:670

SLAPD:: main: tls init def ctx failed: -1

SLAPD:: main: slapd stopped.

Если вместо CA Cert подсунуть Server Cert (как прокатывало в 
2.0.x), то сервер запускается но клиентов не пускает и говорит 
что не может проверить сертификат.

Что я делаю не так? Что нужно подкрутить чтобы эта конструкция 
заработала?

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 2+ messages in thread

* Re: [sisyphus] OpenLDAP плюс TLS. Глюк.
  2004-05-06 11:20 [sisyphus] OpenLDAP плюс TLS. Глюк Alexey Borovskoy
@ 2004-05-07 10:29 ` vserge
  0 siblings, 0 replies; 2+ messages in thread
From: vserge @ 2004-05-07 10:29 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list

Добрый день

Алексей занеси ее пожалуйста в BTS

Вы написали Alexey Borovskoy <alexey_borovskoy@mail.ru> Fri, 7 May 2004
00:20:00 +1300:

> Добрый вечер.
> 
> Исходные данные:
> openldap-servers-2.1.26-alt3.1
> openldap-clients-2.1.26-alt3.1
> openldap-2.1.26-alt3.1
> openssl-0.9.6m-alt1
> 
> Не могу понять как запустить TLS. Создал CA, создал запрос на 
> сертификат сервера, подписал запрос. Получил: CA Cert, Server 
> Cert, Server Key.
> 
> openssl verify и openssl s_server + openssl s_client ничего 
> странного не замечают.
> 
> Делаю cat CA Cert  Server Cert  Server Key >slapd.pem, который 
> кладу вместо сгенеренного автоматически при установке пакета (с 
> ним тоже не работает). Здесь без разницы, можно и россыпью - все 
> равно не работает.
> 
> Раскомментирую TLSCipherSuite, TLSCertificateFile, 
> TLSCertificateKeyFile, TLSCACertificateFile
> 
> При запуске сервера получаю мину:
> # slapd -d 5 -h 'ldap://alb.home ldaps://alb.home'
> >>> dnNormalize: <cn=Subschema>
> <<< dnNormalize: <cn=subschema>
> 
> TRANSPORT:: ldap_pvt_tls_init_def_ctx: TLS private key mismatch.
> 
> TRANSPORT:: tls_report_error: TLS error:0B080074:x509 certificate 
> routines:X509_check_private_key:key values mismatch 
> x509_cmp.c:383
> 
> TRANSPORT:: tls_report_error: TLS error:140A80BE:SSL 
> routines:SSL_CTX_check_private_key:no private key assigned 
> ssl_lib.c:670
> 
> SLAPD:: main: tls init def ctx failed: -1
> 
> SLAPD:: main: slapd stopped.
> 
> Если вместо CA Cert подсунуть Server Cert (как прокатывало в 
> 2.0.x), то сервер запускается но клиентов не пускает и говорит 
> что не может проверить сертификат.
> 
> Что я делаю не так? Что нужно подкрутить чтобы эта конструкция 
> заработала?
> 


-- 
Господа, если встретите переводчика [k3b], пригласите его в kde-russian@ на
принудительную консультацию, пожалуйста.
		-- avp in sisyphus@



^ permalink raw reply	[flat|nested] 2+ messages in thread

end of thread, other threads:[~2004-05-07 10:29 UTC | newest]

Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-05-06 11:20 [sisyphus] OpenLDAP плюс TLS. Глюк Alexey Borovskoy
2004-05-07 10:29 ` vserge

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git