La negociación TLS falló en ldaps:// - alerta sslv3 de registro incorrecto en mac

Nos enfrentamos a un problema en uno de nuestros entornos openldap, mientras habilitamos consultas seguras a través de ldaps://, nuestro entorno de integración sigue devolviendo el siguiente error en el comando ldapsearch:

SSL3_READ_BYTES:sslv3 alert bad record mac

mientras que el mismo comando que apunta a nuestro entorno de producción se conecta correctamente y devuelve entradas coincidentes. La misma consulta en el entorno de integración a través del puerto 389 y ldap:// también funciona.

Ambos se ejecutan bajo las siguientes versiones:

• Red Hat Enterprise Linux Server versión 6.2 (Santiago)
• OpenLDAP: bofetada 2.4.23
• OpenSSL 1.0.0-fips

Cada uno tiene su propio certificado, firmado por la misma CA.

En nuestro entorno de integración:

/etc/openldap/slapd.d/cn\=config.ldif:

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapint.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldapint.key

Y en el mismo archivo, entorno de producción:

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapPRO.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldap.key

Y podemos comprobar este problema haciendo lo siguiente:

$ openssl s_client -connect localhost:636 -showcerts -CApath /etc/openldap/cert/root_CA.pem
CONNECTED(00000003)
depth=1 L = (...), OU = (...), CN = (...)
verify error:num=19:self signed certificate in certificate chain
verify return:0
139866277001032:error:140943FC:SSL routines:SSL3_READ_BYTES:sslv3 alert bad record mac:s3_pkt.c:1193:SSL alert number 20
139866277001032:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---

¿Alguna idea sobre lo que está mal y cómo configurar nuestro LDAPS:// seguro para OpenLDAP?

¡Gracias!