Dieter Kluenter schrieb:
Thomas Mittereder <mittereder@tum.de> writes:
Hallo Liste,
wenn ich bei LDAP in der ldap-conf "ssl start_tls" aktiviere funktioniert mein LDAP nicht mehr. Die letzten Zeile der Debugausgabe des slapd sind:
TLS trace: SSL3 alert write:fatal:handshake failure TLS trace: SSL_accept:error in SSLv3 read client hello B TLS trace: SSL_accept:error in SSLv3 read client hello B TLS: can't accept. TLS: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher s3_srvr.c:887 connection_read(10): TLS accept error error=-1 id=30, closing connection_closing: readying conn=30 sd=10 for close connection_close: conn=30 sd=10
Ich habe alle Zertifikate erstellt und das hat alles ohne Fehler funktioniert.
Was hat ohne Fehler funktioniert? Die Fehlermeldung ist doch eindeutig, der Client kann das Servercertifikat nicht akeptieren. Was steht den bezüglich TLS in /etc/openldap/ldap.conf, /etc/openldap/slapd.conf und /etc/ldap.conf?
Starte slapd mal mit dem Parameter -h ldaps./// und versuche dann einmal die Zertifikate auszulesen
openssl s_client connect -h dein.ldap.server:636 -showcerts
Weiterhin kannn du mit openssl x509 -in zertifikat.pem -text die Zertifikate auslesen, wichtig sind die Angaben zu Issuer und Subject, dann kannst du noch unterhalb der X509v3 extensions die Keysignatur des X509v3 Authority Key Identifier vergleichen mit dem Wert im cacert.pem.
-Dieter
Danke für die schnelle Antwort. Kann mich leider erst nächste Woche wieder damit vergnügen. Thomas