CentOS 6.7 と OpenLDAP に多くの時間を費やしました。シンプルな証明書と、小さくて便利な PEM ファイル内のルート CA で構成されていましたが、CentOS 6.4 からアップグレードした後、SSL を使用した slapd への接続に失敗しました。
最終的に私はこれを見つけました: moznss error -12268 そしてここを読みました:http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html考えてみると、確かに SSLV3 を無効にする設定ディレクティブを見つけることができたので、どうやらそのせいで暗号が不足したか何かのようです。もう少し調べてみる必要があります。誰かが推奨される TLSCipherSuite ディレクティブを持っているか、CentOS のデフォルトが適切であることを確認できます。
とにかく...上記のように、タイトルにこの警告がまだ表示されます: TLS: 証明書のロック解除された証明書がありません ''
誰か説明してくれませんか?グーグルで検索しましたが、文脈も定義も見つかりません。TLS と書いてありますが、これは Mozilla NSS 証明書データベースからのものですか?
ポート 636 の openssl s_client 経由で slapd に接続すると、次のように表示されます。
slapd -d stats -h 'ldap:/// ldapi:/// ldaps:/// ' -u ldap
[...]
TLS: certificate 'mycertificate' successfully loaded from moznss database.
TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'.
560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256
(上の名前は編集しました。OU=XXX の部分は「mycertificate」の件名です)
SSL 接続は機能していますが、このコンテキストでのロック解除された証明書とは何か、またなぜそう表示されるのかを知りたいだけです。
何かアドバイスがあれば、大歓迎です。
答え1
ソースコード openldap-2.4.39/libraries/libldap/tls_m.c でこのメッセージを見つけました。コメントには「ロック解除されたキー、開かれた certdb からのキー、その他のキーの順に優先する」と書かれています。
私の推測では、このルーチンはキーのロックを解除してその答えをキャッシュできるものです。ただし、これはエラーではなく警告メッセージのようです。