was bedeutet das? openldap: TLS: kein entsperrtes Zertifikat für Zertifikat ''

was bedeutet das? openldap: TLS: kein entsperrtes Zertifikat für Zertifikat ''

habe gerade viel Zeit mit CentOS 6.7 und OpenLDAP verbracht. Es war mit einfachen Zertifikaten und einer Root-CA in netten kleinen PEM-Dateien konfiguriert, aber nach einem Upgrade von CentOS 6.4 schlug die Verbindung zum Slapd über SSL fehl.

Schließlich sah ich dies: Moznss-Fehler -12268 und las hier:http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.htmlund habe darüber nachgedacht und tatsächlich konnte ich eine Konfigurationsdirektive finden, die SSLV3 deaktivierte, und anscheinend ging „ihm“ deswegen irgendwie die Chiffren aus oder so etwas. Ich muss mir das noch genauer ansehen. Vielleicht hat jemand eine empfohlene TLSCipherSuite-Direktive oder kann bestätigen, dass die CentOS-Standardeinstellungen gut sind.

trotzdem...es steht immer noch diese Warnung, wie oben erwähnt, im Titel: TLS: kein entsperrtes Zertifikat für Zertifikat ''

kann das jemand erklären? ich habe es gegoogelt und kann weder einen Kontext noch eine Definition finden. da steht TLS, aber stammt das aus der NSS-Zertifikatsdatenbank von Mozilla?

slapd sagt dies, wenn ich mich über OpenSSL S_Client auf Port 636 damit verbinde:

slapd -d stats  -h 'ldap:/// ldapi:/// ldaps:/// '  -u ldap
[...]
TLS: certificate 'mycertificate'      successfully loaded from moznss database.
TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'.
560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256

(ich habe die Namen dort oben herausgeschnitten, das Zeug mit OU=XXX ist das Thema von „mycertificate“)

ich habe eine funktionierende SSL-Verbindung, möchte aber einfach wissen, was in diesem Zusammenhang ein entsperrtes Zertifikat ist und warum das dort steht.

Alle Hinweise sind sehr willkommen.

Antwort1

Ich habe diese Nachricht im Quellcode openldap-2.4.39/libraries/libldap/tls_m.c gefunden. Der Kommentar lautet: „Entsperrten Schlüssel bevorzugen, dann Schlüssel aus geöffneter Certdb, dann jeden anderen“

Ich vermute, dass die Routine in der Lage ist, einen Schlüssel freizugeben und die Antwort zwischenzuspeichern. Es scheint sich jedoch um eine Warnmeldung und nicht um einen Fehler zu handeln.

verwandte Informationen