SSL-Routinen: ssl23_write: SSL-Handshake-Fehler: s23_lib.c:177:

tag-icon tag-icon openssl openldap certificate-authority debian-jessie
SSL-Routinen: ssl23_write: SSL-Handshake-Fehler: s23_lib.c:177:

Ich habe einen OpenLDAP-Master und zwei OpenLDAP-Slaves. Ich verwende eine CA ohne Selbstsignierung.

OpenLDAP-Master: Name Debian basierend auf Stretch
Slapd 2.4.44+dfsg-5+d amd64
OpenSSL 1.1.0f-3+deb9u1 amd64

OpenLDAP-Slave: Name Debian1 basierend auf Stretch
Slapd 2.4.44+dfsg-5+d amd64
OpenSSL 1.1.0f-3+deb9u1 amd64

OpenLDAP-Master: Name LDAP-basiert auf Oracle Linux 7.4
Slapd 2.4.44-5.el7.x86_64
OpenSSL-1.0.2k-8.0.1.el7.x86_64

Der auf Oracle Linux basierende OpenLDAP-Client konnte keine Verbindung zum auf Debian Strech basierenden LDAP-Master herstellen.

Dinge, die ich bei Slave-Debian und Slave-Oracle-Linux getan habe:

root@debian1:~# openssl verify -CAfile /etc/ssl/contatogs.com.br/cacert.pem /etc/ssl/contatogs.com.br/newcerts/cn\=debian1\,ou\=computers\,dc\=contatogs\,dc\=com\,dc\=br.crt.pem 
/etc/ssl/contatogs.com.br/newcerts/cn=debian1,ou=computers,dc=contatogs,dc=com,dc=br.crt.pem: **OK**

[root@ldap ~]# openssl verify -CAfile /etc/openldap/cacerts/cacert.pem /etc/openldap/certs/cn\=ldap\,ou\=>
/etc/openldap/certs/cn=ldap,ou=computers,dc=contatogs,dc=com,dc=br.crt.pem: **OK**

so weit, so gut 80)

Jetzt möglicherweise ein Problem beim Debian1-Slave:

root@debian1:~# openssl s_client -connect debian.contatogs.com.br:389 -CAfile /etc/ssl/contatogs.com.br/cac
ert.pem  -state 
CONNECTED(00000003)
SSL_connect:before SSL initialization
SSL_connect:SSLv3/TLS write client hello
**SSL_connect:error in SSLv3/TLS write client hello**
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 176 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1519415735
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no

Aber Master/Slave mit nur Debian/Debian funktioniert trotz dieses Fehlers/dieser Warnung.

Jetzt funktioniert Oracle Linux überhaupt nicht mehr.

[root@ldap ~]# 
<contatogs.com.br:389 -CAfile /etc/openldap/cacerts/cacert.pem  -state
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
139967037114272:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 289 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
   PSK identity: None
    PSK identity hint: None
    Start Time: 1519415876
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

Ich bin fast sicher, dass das Problem bei CA liegt, aber ich weiß nicht, wie ich es beheben kann ... 80)

Ich wäre für jede Hilfe sehr dankbar.

Antwort1

Hallo, für die nächste Suche habe ich den richtigen Weg gefunden, diesen Fehler zu beheben. Wenn ich das Zertifikat für den Slave erstelle, habe ich es mit dem Client-Teil (TLS-Web-Client) erstellt und die richtige Methode ist, ein Zertifikat als Server (TLS-Web-Server) zu erstellen. Was mir geholfen hat, diesen Fehler zu entdecken, war ein anderer Beitrag bei Serverfault mit diesem Befehl: openssl verify -purpose sslserver -CAfile cacert.pem ldaprov1.crt

verwandte Informationen