Thomas Mittereder schrieb:
Dieter Kluenter schrieb:
Thomas Mittereder <mittereder@tum.de> writes:
Hallo Liste,
wenn ich bei LDAP in der ldap-conf "ssl start_tls" aktiviere funktioniert mein LDAP nicht mehr. Die letzten Zeile der Debugausgabe des slapd sind:
TLS trace: SSL3 alert write:fatal:handshake failure TLS trace: SSL_accept:error in SSLv3 read client hello B TLS trace: SSL_accept:error in SSLv3 read client hello B TLS: can't accept. TLS: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher s3_srvr.c:887 connection_read(10): TLS accept error error=-1 id=30, closing connection_closing: readying conn=30 sd=10 for close connection_close: conn=30 sd=10
Ich habe alle Zertifikate erstellt und das hat alles ohne Fehler funktioniert.
Was hat ohne Fehler funktioniert? Die Fehlermeldung ist doch eindeutig, der Client kann das Servercertifikat nicht akeptieren. Was steht den bezüglich TLS in /etc/openldap/ldap.conf, /etc/openldap/slapd.conf und /etc/ldap.conf?
Starte slapd mal mit dem Parameter -h ldaps./// und versuche dann einmal die Zertifikate auszulesen
openssl s_client connect -h dein.ldap.server:636 -showcerts
Weiterhin kannn du mit openssl x509 -in zertifikat.pem -text die Zertifikate auslesen, wichtig sind die Angaben zu Issuer und Subject, dann kannst du noch unterhalb der X509v3 extensions die Keysignatur des X509v3 Authority Key Identifier vergleichen mit dem Wert im cacert.pem.
-Dieter
Danke für die schnelle Antwort. Kann mich leider erst nächste Woche wieder damit vergnügen.
Thomas
Hallo Dieter, mit "ohne Fehler" meinte ich das erstellen der Zertifikate. Das steht in meinen Dateien: /etc/ldap.conf: ssl start_tls tls_checkpeer yes tls_cacertfile /etc/cert/cacert.pem #tls_ciphers TLSv1 tls_cert /etc/cert/orion_cert.pem tls_key /etc/cert/orion_key.pem /etc/openldap/slapd.conf: TLS_REQCERT allow TLSCertificateFile /etc/openldap/ldapcert.pem TLSCertificateKeyFile /etc/openldap/ldapkey.pem TLSCACertificateFile /etc/openldap/demoCA/cacert.pem TLSCipherSuite :SSLv2 TLSVerifyClient allow #security tls=1 /etc/openldap/ldap.conf TLS_REQCERT allow Wenn ich openssl s_client -connect mein.ldap.server:636 -showcerts eingebe bekomme ich folgende Meldung: CONNECTED(00000003) 2887:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:470: Gruß, Thomas -- am Lehrstuhl für Hochfrequenztechnik Technische Universität München Arcisstrasse 21 80333 München Tel: 089/289-23371 Fax: 089/289-23365 Email: mittereder@tum.de