Sven Gehr
Hallo,
schrieb Dieter Kluenter:
schrieb Sven Gehr:
Da sehe ich gerade eine weitere mögliche Fehlerquelle. Du hast im Server-Zertifikat als Host 'testserver.kundennetz' eingetragen, ist das der Hostname und die Domain die über die Funktion 'gethostbyname' aufgelöst werden können? Andernfalls wird die TLS Verbindung vom Client verweigert.
das ist der FQDN der läßt sich über nsloockup auflösen. Der Befehl 'gethostbyname' existiert auf meinem System nicht.
Das ist kein Befehl, sondern eine Funktion der C Bibliothek.
Wenn ich jedoch ein:
getent hosts mache bekomme ich die Ausgabe:
127.0.0.1 localhost 192.168.1.1 testserver.kundennetz testserver
OK.
Noch eine weitere mögliche Fehlerquelle fält mir ein. Du setzt möglicherweise openssl-0.9.7 ein. [...] Ok, ich habe folgendes gemacht. Alle Dateien wieder entfernt und die Zertifikat- und CA Erstellung nochmal von vorne:
./CA.sh -newca ./CA.sh -newreq ./CA.sh -sign openssl rsa -in newreq.pem -out ldapkey.pem mv newcert.pem ldapcert.pem ./CA.sh -verify ldapcert --> ok
Jedoch bringt 'openssl s_client -connect localhost:636 -showcerts' noch genau die identisch gleiche Ausgabe.
Das ist sehr eigenartig, das kann ich nicht reproduzieren.
Anschließd habe ich den Paramter den ich zu Anfang in der /etc/ssl/openssl.cnf aktiviert habe:
unique_subject = no
Den Parameter kenne ich nicht, macht aber auch nichts.
wieder auskommentiert und das Ganze nochmal von vorne gemacht dann erhalte ich aber wieder beim Aufruf von './CA.sh -sign' die Meldung:
Using configuration from /etc/ssl/openssl.cnf 2982:error:0E06D06C:lib(40):UI_set_result:result too small:ui_lib.c:847:You must type in 4 to 8191 charecters
Das hat wohl nicht zu sagen, in openssl.conf ist kein Paßwort eingetragen, oder das Paßwort hat nur drei Zeichen.
Enter pass phrase for ./demoCA/privat/caky.pem: Check that the request matches the signature Signature ok
Also nach der Passworteingabe geht es dann weiter und ich bekomme die Zertifikat-Details angzeigt. Hier ist mir aufgefallen das unter den
[...] X509v3 extensions X509v3 Basic Constraints: CA:FALSE [...] Das war aber schon immer, also unabhängig von der Option 'unique_subject = no', so.
Das sollte auch so sein, den 'Basic Constraints: CA:FALSE ist ein Parameter für ein Certificate Request, aber nicht für ein CA Request. Bei einem CA Request würde dort CA:TRUE stehen, siehe auch openssl.conf
steht, evtl ist das ein Problem? Ich mache dann weiter und beantworte die Frage ob das das Zertifikat signiert werden soll mit y
Anschließend kommt noch die Frage:
1 out of 1 certificate requests certified, commit? [y/n]
Wieso er mich nochmal fragt verstehe ich nicht so recht.
Ganz einfach, daß sind zwei Prozesse, zuerst wird das Zertifikat signiert, dann die Zertifizierung abgeschlossen, könnte ja sein, daß du mehrere Zertifkate signieren möchtest.
Nur so am Rande. Kann es sein das meine LDAP-Probleme aus den Zertifikat-Problemen resultieren und wir zuerst diese Lösen sollten?
Ich denke, das sind mehrere Ursachen. Zum Einen das Mißverständnis von SASL -> saslauthd, dann die stillschweigende Voraussetzung, daß saslauthd eine Authentifizierung gegen ldap vornehmen kann. Versuche das alles erst einmal ohne SSL oder TLS, wenn das funktioniert, dann kannst du TLS hinzufügen. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de