TLS-Aushandlung ist bei ldaps:// fehlgeschlagen - SSLV3-Alarm, fehlerhafter Datensatz, Mac

Wir haben ein Problem in einer unserer OpenLDAP-Umgebungen. Beim Aktivieren sicherer Abfragen über ldaps:// gibt unsere Integrationsumgebung bei unserem LDAPSearch-Befehl immer wieder den folgenden Fehler zurück:

SSL3_READ_BYTES:sslv3 alert bad record mac

während derselbe Befehl, der auf unsere Produktionsumgebung verweist, eine korrekte Verbindung herstellt und übereinstimmende Einträge zurückgibt. Dieselbe Abfrage an die Integrationsumgebung über Port 389 und ldap:// funktioniert ebenfalls.

Beide laufen unter folgenden Versionen:

• Red Hat Enterprise Linux Server Version 6.2 (Santiago)
• OpenLDAP: slapd 2.4.23
• OpenSSL 1.0.0-fips

Jedes verfügt über ein eigenes, von derselben Zertifizierungsstelle signiertes Zertifikat.

In unserer Integrationsumgebung:

/etc/openldap/slapd.d/cn\=config.ldif:

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapint.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldapint.key

Und in derselben Datei, Produktionsumgebung:

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapPRO.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldap.key

Und wir können dieses Problem wie folgt überprüfen:

$ openssl s_client -connect localhost:636 -showcerts -CApath /etc/openldap/cert/root_CA.pem
CONNECTED(00000003)
depth=1 L = (...), OU = (...), CN = (...)
verify error:num=19:self signed certificate in certificate chain
verify return:0
139866277001032:error:140943FC:SSL routines:SSL3_READ_BYTES:sslv3 alert bad record mac:s3_pkt.c:1193:SSL alert number 20
139866277001032:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---

Irgendwelche Ideen, was falsch ist und wie wir unser sicheres LDAPS:// für OpenLDAP konfigurieren?

Danke!