From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vserge@altlinux.ru>
Date: Fri, 7 May 2004 14:29:36 +0400
From: vserge <vserge@altlinux.ru>
To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
Subject: Re: [sisyphus] OpenLDAP =?KOI8-R?Q?=D0=CC=C0=D3?= TLS.
	=?KOI8-R?Q?=E7=CC=C0=CB=2E?=
Message-Id: <20040507142936.338a274f.vserge@altlinux.ru>
In-Reply-To: <200405070020.27446.alexey_borovskoy@mail.ru>
References: <200405070020.27446.alexey_borovskoy@mail.ru>
Organization: ALT Linux Team
X-Mailer: Sylpheed version 0.9.10 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.4
Precedence: list
Reply-To: vserge@altlinux.ru,
	ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
List-Id: ALT Linux Sisyphus discussion list <sisyphus.altlinux.ru>
List-Unsubscribe: <http://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Fri, 07 May 2004 10:30:57 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20040507142936.338a274f.vserge@altlinux.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

Добрый день

Алексей занеси ее пожалуйста в BTS

Вы написали Alexey Borovskoy <alexey_borovskoy@mail.ru> Fri, 7 May 2004
00:20:00 +1300:

> Добрый вечер.
> 
> Исходные данные:
> openldap-servers-2.1.26-alt3.1
> openldap-clients-2.1.26-alt3.1
> openldap-2.1.26-alt3.1
> openssl-0.9.6m-alt1
> 
> Не могу понять как запустить TLS. Создал CA, создал запрос на 
> сертификат сервера, подписал запрос. Получил: CA Cert, Server 
> Cert, Server Key.
> 
> openssl verify и openssl s_server + openssl s_client ничего 
> странного не замечают.
> 
> Делаю cat CA Cert  Server Cert  Server Key >slapd.pem, который 
> кладу вместо сгенеренного автоматически при установке пакета (с 
> ним тоже не работает). Здесь без разницы, можно и россыпью - все 
> равно не работает.
> 
> Раскомментирую TLSCipherSuite, TLSCertificateFile, 
> TLSCertificateKeyFile, TLSCACertificateFile
> 
> При запуске сервера получаю мину:
> # slapd -d 5 -h 'ldap://alb.home ldaps://alb.home'
> >>> dnNormalize: <cn=Subschema>
> <<< dnNormalize: <cn=subschema>
> 
> TRANSPORT:: ldap_pvt_tls_init_def_ctx: TLS private key mismatch.
> 
> TRANSPORT:: tls_report_error: TLS error:0B080074:x509 certificate 
> routines:X509_check_private_key:key values mismatch 
> x509_cmp.c:383
> 
> TRANSPORT:: tls_report_error: TLS error:140A80BE:SSL 
> routines:SSL_CTX_check_private_key:no private key assigned 
> ssl_lib.c:670
> 
> SLAPD:: main: tls init def ctx failed: -1
> 
> SLAPD:: main: slapd stopped.
> 
> Если вместо CA Cert подсунуть Server Cert (как прокатывало в 
> 2.0.x), то сервер запускается но клиентов не пускает и говорит 
> что не может проверить сертификат.
> 
> Что я делаю не так? Что нужно подкрутить чтобы эта конструкция 
> заработала?
> 


-- 
Господа, если встретите переводчика [k3b], пригласите его в kde-russian@ на
принудительную консультацию, пожалуйста.
		-- avp in sisyphus@