Hallo Liste, wenn ich bei LDAP in der ldap-conf "ssl start_tls" aktiviere funktioniert mein LDAP nicht mehr. Die letzten Zeile der Debugausgabe des slapd sind: TLS trace: SSL3 alert write:fatal:handshake failure TLS trace: SSL_accept:error in SSLv3 read client hello B TLS trace: SSL_accept:error in SSLv3 read client hello B TLS: can't accept. TLS: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher s3_srvr.c:887 connection_read(10): TLS accept error error=-1 id=30, closing connection_closing: readying conn=30 sd=10 for close connection_close: conn=30 sd=10 Ich habe alle Zertifikate erstellt und das hat alles ohne Fehler funktioniert. Danke für jegliche Hilfe? Gruß, Thomas
Thomas Mittereder <mittereder@tum.de> writes:
Hallo Liste,
wenn ich bei LDAP in der ldap-conf "ssl start_tls" aktiviere funktioniert mein LDAP nicht mehr. Die letzten Zeile der Debugausgabe des slapd sind:
TLS trace: SSL3 alert write:fatal:handshake failure TLS trace: SSL_accept:error in SSLv3 read client hello B TLS trace: SSL_accept:error in SSLv3 read client hello B TLS: can't accept. TLS: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher s3_srvr.c:887 connection_read(10): TLS accept error error=-1 id=30, closing connection_closing: readying conn=30 sd=10 for close connection_close: conn=30 sd=10
Ich habe alle Zertifikate erstellt und das hat alles ohne Fehler funktioniert.
Was hat ohne Fehler funktioniert? Die Fehlermeldung ist doch eindeutig, der Client kann das Servercertifikat nicht akeptieren. Was steht den bezüglich TLS in /etc/openldap/ldap.conf, /etc/openldap/slapd.conf und /etc/ldap.conf? Starte slapd mal mit dem Parameter -h ldaps./// und versuche dann einmal die Zertifikate auszulesen openssl s_client connect -h dein.ldap.server:636 -showcerts Weiterhin kannn du mit openssl x509 -in zertifikat.pem -text die Zertifikate auslesen, wichtig sind die Angaben zu Issuer und Subject, dann kannst du noch unterhalb der X509v3 extensions die Keysignatur des X509v3 Authority Key Identifier vergleichen mit dem Wert im cacert.pem. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter schrieb:
Thomas Mittereder <mittereder@tum.de> writes:
Hallo Liste,
wenn ich bei LDAP in der ldap-conf "ssl start_tls" aktiviere funktioniert mein LDAP nicht mehr. Die letzten Zeile der Debugausgabe des slapd sind:
TLS trace: SSL3 alert write:fatal:handshake failure TLS trace: SSL_accept:error in SSLv3 read client hello B TLS trace: SSL_accept:error in SSLv3 read client hello B TLS: can't accept. TLS: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher s3_srvr.c:887 connection_read(10): TLS accept error error=-1 id=30, closing connection_closing: readying conn=30 sd=10 for close connection_close: conn=30 sd=10
Ich habe alle Zertifikate erstellt und das hat alles ohne Fehler funktioniert.
Was hat ohne Fehler funktioniert? Die Fehlermeldung ist doch eindeutig, der Client kann das Servercertifikat nicht akeptieren. Was steht den bezüglich TLS in /etc/openldap/ldap.conf, /etc/openldap/slapd.conf und /etc/ldap.conf?
Starte slapd mal mit dem Parameter -h ldaps./// und versuche dann einmal die Zertifikate auszulesen
openssl s_client connect -h dein.ldap.server:636 -showcerts
Weiterhin kannn du mit openssl x509 -in zertifikat.pem -text die Zertifikate auslesen, wichtig sind die Angaben zu Issuer und Subject, dann kannst du noch unterhalb der X509v3 extensions die Keysignatur des X509v3 Authority Key Identifier vergleichen mit dem Wert im cacert.pem.
-Dieter
Danke für die schnelle Antwort. Kann mich leider erst nächste Woche wieder damit vergnügen. Thomas
Thomas Mittereder schrieb:
Dieter Kluenter schrieb:
Thomas Mittereder <mittereder@tum.de> writes:
Hallo Liste,
wenn ich bei LDAP in der ldap-conf "ssl start_tls" aktiviere funktioniert mein LDAP nicht mehr. Die letzten Zeile der Debugausgabe des slapd sind:
TLS trace: SSL3 alert write:fatal:handshake failure TLS trace: SSL_accept:error in SSLv3 read client hello B TLS trace: SSL_accept:error in SSLv3 read client hello B TLS: can't accept. TLS: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher s3_srvr.c:887 connection_read(10): TLS accept error error=-1 id=30, closing connection_closing: readying conn=30 sd=10 for close connection_close: conn=30 sd=10
Ich habe alle Zertifikate erstellt und das hat alles ohne Fehler funktioniert.
Was hat ohne Fehler funktioniert? Die Fehlermeldung ist doch eindeutig, der Client kann das Servercertifikat nicht akeptieren. Was steht den bezüglich TLS in /etc/openldap/ldap.conf, /etc/openldap/slapd.conf und /etc/ldap.conf?
Starte slapd mal mit dem Parameter -h ldaps./// und versuche dann einmal die Zertifikate auszulesen
openssl s_client connect -h dein.ldap.server:636 -showcerts
Weiterhin kannn du mit openssl x509 -in zertifikat.pem -text die Zertifikate auslesen, wichtig sind die Angaben zu Issuer und Subject, dann kannst du noch unterhalb der X509v3 extensions die Keysignatur des X509v3 Authority Key Identifier vergleichen mit dem Wert im cacert.pem.
-Dieter
Danke für die schnelle Antwort. Kann mich leider erst nächste Woche wieder damit vergnügen.
Thomas
Hallo Dieter, mit "ohne Fehler" meinte ich das erstellen der Zertifikate. Das steht in meinen Dateien: /etc/ldap.conf: ssl start_tls tls_checkpeer yes tls_cacertfile /etc/cert/cacert.pem #tls_ciphers TLSv1 tls_cert /etc/cert/orion_cert.pem tls_key /etc/cert/orion_key.pem /etc/openldap/slapd.conf: TLS_REQCERT allow TLSCertificateFile /etc/openldap/ldapcert.pem TLSCertificateKeyFile /etc/openldap/ldapkey.pem TLSCACertificateFile /etc/openldap/demoCA/cacert.pem TLSCipherSuite :SSLv2 TLSVerifyClient allow #security tls=1 /etc/openldap/ldap.conf TLS_REQCERT allow Wenn ich openssl s_client -connect mein.ldap.server:636 -showcerts eingebe bekomme ich folgende Meldung: CONNECTED(00000003) 2887:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:470: Gruß, Thomas -- am Lehrstuhl für Hochfrequenztechnik Technische Universität München Arcisstrasse 21 80333 München Tel: 089/289-23371 Fax: 089/289-23365 Email: mittereder@tum.de
Thomas Mittereder <mittereder@tum.de> writes:
Thomas Mittereder schrieb:
Dieter Kluenter schrieb: [...]
Hallo Dieter,
mit "ohne Fehler" meinte ich das erstellen der Zertifikate.
Das steht in meinen Dateien:
/etc/ldap.conf:
/etc/openldap/slapd.conf:
TLS_REQCERT allow TLSCertificateFile /etc/openldap/ldapcert.pem TLSCertificateKeyFile /etc/openldap/ldapkey.pem TLSCACertificateFile /etc/openldap/demoCA/cacert.pem TLSCipherSuite :SSLv2 TLSVerifyClient allow #security tls=1
Der Eintrag TLS_REQCERT gehört NICHT zu slapd.conf, sondern auschließlich in openldap/ldap.conf
/etc/openldap/ldap.conf
TLS_REQCERT allow
Wenn ich openssl s_client -connect mein.ldap.server:636 -showcerts eingebe bekomme ich folgende Meldung:
CONNECTED(00000003) 2887:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:470:
Das ist ziemlich eindeutig, deine Zertifikate sind mit einer fremden CA signiert worden, oder die Prüfung der Zertifikate erfolgt mit einem fremden cacert.pem -Dieter -- Dieter Klünter | Systemberatung Tel: +49.40.64861967 Fax: +49.40.64891521 Key ID: 9B13A25650EF4335
Dieter Kluenter schrieb:
Thomas Mittereder <mittereder@tum.de> writes:
Thomas Mittereder schrieb:
Dieter Kluenter schrieb:
[...]
Hallo Dieter,
mit "ohne Fehler" meinte ich das erstellen der Zertifikate.
Das steht in meinen Dateien:
/etc/ldap.conf:
/etc/openldap/slapd.conf:
TLS_REQCERT allow TLSCertificateFile /etc/openldap/ldapcert.pem TLSCertificateKeyFile /etc/openldap/ldapkey.pem TLSCACertificateFile /etc/openldap/demoCA/cacert.pem TLSCipherSuite :SSLv2 TLSVerifyClient allow #security tls=1
Der Eintrag TLS_REQCERT gehört NICHT zu slapd.conf, sondern auschließlich in openldap/ldap.conf
/etc/openldap/ldap.conf
TLS_REQCERT allow
Wenn ich openssl s_client -connect mein.ldap.server:636 -showcerts eingebe bekomme ich folgende Meldung:
CONNECTED(00000003) 2887:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:470:
Das ist ziemlich eindeutig, deine Zertifikate sind mit einer fremden CA signiert worden, oder die Prüfung der Zertifikate erfolgt mit einem fremden cacert.pem
-Dieter
Dann werd ich die Zertifikate nochmal neu erstellen und hoffen das es dann funktioniert. Thomas
Thomas Mittereder schrieb:
Dieter Kluenter schrieb:
Thomas Mittereder <mittereder@tum.de> writes:
Thomas Mittereder schrieb:
Dieter Kluenter schrieb:
[...]
Hallo Dieter,
mit "ohne Fehler" meinte ich das erstellen der Zertifikate.
Das steht in meinen Dateien:
/etc/ldap.conf:
/etc/openldap/slapd.conf:
TLS_REQCERT allow TLSCertificateFile /etc/openldap/ldapcert.pem TLSCertificateKeyFile /etc/openldap/ldapkey.pem TLSCACertificateFile /etc/openldap/demoCA/cacert.pem TLSCipherSuite :SSLv2 TLSVerifyClient allow #security tls=1
Der Eintrag TLS_REQCERT gehört NICHT zu slapd.conf, sondern auschließlich in openldap/ldap.conf
/etc/openldap/ldap.conf
TLS_REQCERT allow
Wenn ich openssl s_client -connect mein.ldap.server:636 -showcerts eingebe bekomme ich folgende Meldung:
CONNECTED(00000003) 2887:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:470:
Das ist ziemlich eindeutig, deine Zertifikate sind mit einer fremden CA signiert worden, oder die Prüfung der Zertifikate erfolgt mit einem fremden cacert.pem
-Dieter
Dann werd ich die Zertifikate nochmal neu erstellen und hoffen das es dann funktioniert.
Thomas
Hallo, danke für die Hilfe, es scheint jetzt im kleinen Rahmen zu funktionieren. Jetzt will ich mehrere Clients anbinden. Thomas
Thomas Mittereder <mittereder@tum.de> writes:
Thomas Mittereder schrieb:
Dieter Kluenter schrieb:
Thomas Mittereder <mittereder@tum.de> writes:
Thomas Mittereder schrieb:
Dieter Kluenter schrieb:
Dann werd ich die Zertifikate nochmal neu erstellen und hoffen das es dann funktioniert. Thomas
Hallo,
danke für die Hilfe, es scheint jetzt im kleinen Rahmen zu funktionieren. Jetzt will ich mehrere Clients anbinden.
Es freut mich, daß ich helfen konnte, denke daran, das cacert.pem auf die Clients zu verteilen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
participants (2)
-
Dieter Kluenter -
Thomas Mittereder