Mein letztes SSL-Zertifikat ist gestern abgelaufen und wurde auf meinem LDAP-Server konfiguriert. Ich habe also einen neuen SSL-Schlüssel gekauft, ihn aktiviert und erneut versucht, ihn zu konfigurieren, aber es wird immer noch der gleiche Fehler angezeigt. Zuerst habe ich versucht, ldapsearch -d 33 -H ldaps://ldap.example.com -b "dc=example,dc=com" -D "cn=manager,ou=Internal,dc=example,dc=com" -w Zsi9olp4rf8jWi6bmD
eine Verbindung mit dem Server herzustellen, dann wurde ausgegeben
ldap_url_parse_ext(ldaps://ldap.example.com)
ldap_create
ldap_url_parse_ext(ldaps://ldap.example.com:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP ldap.example.com:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.2.0.102:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: certdb config: configDir='/etc/openldap/cacerts' tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
TLS: using moznss security dir /etc/openldap/cacerts prefix .
TLS: loaded CA certificate file /etc/openldap/cacerts/f96879fa.1.
**TLS: certificate [CN=*.example.com,OU=EssentialSSL Wildcard,OU=Domain Control Validated] is not valid - error -8181:Peer's Certificate has expired..**
TLS: error: connect - force handshake failure: errno 21 - moznss error -8174
TLS: can't connect: TLS error -8174:security library: bad database..
ldap_err2string
**ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)**
Ich habe also neue Schlüssel in die Datei des LDAP-Servers kopiert, /etc/openldap/cacerts/cert.pemaber es gibt noch eine andere Datei /etc/openldap/cacerts/key.pem. Jetzt bin ich verwirrt, zu welcher Datei ich die Schlüssel hinzufügen soll.
Bei Clients befinden sich viele Dateien im Ordner „cacerts“. Bitte überprüfen Sie die angehängten Fotos auf Dateien.
Bitte geben Sie mir Hinweise, wo ich für eine ordnungsgemäße Konfiguration einen neuen SSL-Schlüssel hinzufügen muss.
Antwort1
Für SSL sind sowohl ein privater als auch ein öffentlicher Schlüssel erforderlich. Aus Gründen, die über den Rahmen dieser Antwort hinausgehen, wird Ihr öffentlicher Schlüssel in Ihrem Certificate Signing Request (CSR) an eine Zertifizierungsstelle (oder CA) gesendet und in das Zertifikat aufgenommen, das Sie zurückerhalten.
Damit ein Server funktioniert, benötigt er sowohl den privaten als auch den öffentlichen Schlüssel (fast immer in einem Zertifikat verpackt). Aus diesem Grund werden Ihnen zwei Dateien angezeigt.
Wenn Sie Ihr neues Zertifikat mit demselben privaten Schlüssel generiert haben, sollten Sie nur das Zertifikat ersetzen können. Die meisten Online-Anweisungen zum Erstellen einer CSR generieren auch einen neuen privaten Schlüssel (im selben Ordner). In diesem Fall müssen Sie diesen privaten Schlüssel zusammen mit Ihrem Zertifikat suchen und verwenden.