Acabo de pasar mucho tiempo con centos 6.7 y openldap. se configuró con certificados simples y una raíz-ca en pequeños y agradables archivos pem, pero después de una actualización desde centos 6.4, falló la conexión al slapd con SSL.
Finalmente vi esto: error moznss -12268 y leí aquí:http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.htmly lo pensé y, de hecho, pude encontrar una directiva de configuración que deshabilitó sslv3 y aparentemente de alguna manera debido a eso "se quedó sin cifrados o algo así". Tengo que investigarlo un poco más. tal vez alguien tenga una directiva TLSCipherSuite recomendada o pueda confirmar que los valores predeterminados de centos son buenos.
de todos modos... todavía dice esta advertencia, como se mencionó anteriormente, en el título: TLS: no hay certificado desbloqueado para el certificado ''
¿Alguien puede explicarlo? Lo busqué en Google y no encuentro contexto ni definición. dice TLS, pero ¿es de la base de datos de certificados mozilla nss?
slapd dice esto cuando me conecto a través de openssl s_client en el puerto 636:
slapd -d stats -h 'ldap:/// ldapi:/// ldaps:/// ' -u ldap
[...]
TLS: certificate 'mycertificate' successfully loaded from moznss database.
TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'.
560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256
(Edité los nombres ahí arriba, el material OU=XXX es el tema de 'mycertificate')
Tengo una conexión SSL que funciona, pero solo quiero saber qué es un certificado desbloqueado en este contexto y también por qué dice eso.
cualquier consejo muy apreciado.
Respuesta1
Encontré este mensaje en el código fuente openldap-2.4.39/libraries/libldap/tls_m.c. El comentario dice "prefiero la clave desbloqueada, luego la clave de certdb abierta, luego cualquier otra".
Supongo que la rutina es capaz de desbloquear una clave y almacenar en caché la respuesta. Parece ser un mensaje de advertencia, no un error.