Tengo un maestro openldap y 2 esclavos openldap. Utilizando una CA sin firma automática.
openldap master: nombre debian basado en stretch
slapd 2.4.44+dfsg-5+d amd64
openssl 1.1.0f-3+deb9u1 amd64
esclavo openldap: nombre debian1 basado en estiramiento
slapd 2.4.44+dfsg-5+d amd64
openssl 1.1.0f-3+deb9u1 amd64
openldap master: nombre ldap basado en oracle linux 7.4
slapd 2.4.44-5.el7.x86_64
openssl-1.0.2k-8.0.1.el7.x86_64
El cliente openldap basado en Oracle Linux no pudo conectarse al maestro ldap basado en Debian Strech.
Cosas que he hecho en Slave Debian y Slave Oracle Linux:
root@debian1:~# openssl verify -CAfile /etc/ssl/contatogs.com.br/cacert.pem /etc/ssl/contatogs.com.br/newcerts/cn\=debian1\,ou\=computers\,dc\=contatogs\,dc\=com\,dc\=br.crt.pem
/etc/ssl/contatogs.com.br/newcerts/cn=debian1,ou=computers,dc=contatogs,dc=com,dc=br.crt.pem: **OK**
[root@ldap ~]# openssl verify -CAfile /etc/openldap/cacerts/cacert.pem /etc/openldap/certs/cn\=ldap\,ou\=>
/etc/openldap/certs/cn=ldap,ou=computers,dc=contatogs,dc=com,dc=br.crt.pem: **OK**
hasta ahora todo bien 80)
Ahora posiblemente haya un problema en el esclavo debian1:
root@debian1:~# openssl s_client -connect debian.contatogs.com.br:389 -CAfile /etc/ssl/contatogs.com.br/cac
ert.pem -state
CONNECTED(00000003)
SSL_connect:before SSL initialization
SSL_connect:SSLv3/TLS write client hello
**SSL_connect:error in SSLv3/TLS write client hello**
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 176 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1519415735
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
Pero maestro/esclavo solo con Debian/Debian funciona a pesar de este error/advertencia.
Ahora Oracle Linux no funciona en absoluto...
[root@ldap ~]#
<contatogs.com.br:389 -CAfile /etc/openldap/cacerts/cacert.pem -state
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
139967037114272:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 289 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
Start Time: 1519415876
Timeout : 300 (sec)
Verify return code: 0 (ok)
Estoy casi seguro de que el problema es CA, pero no sé cómo solucionarlo...80)
Cualquier ayuda será muy apreciada.
Respuesta1
Hola, para futuras búsquedas, he encontrado la forma correcta de eliminar este error. Cuando creo el certificado para esclavo, lo creé usando la parte del cliente (cliente web TLS) y lo correcto es crear un certificado como servidor (servidor web TLS). Lo que me ayudó a descubrir este error fue otra publicación en serverfault con este comando: openssl verificar -propósito sslserver -CAfile cacert.pem ldaprov1.crt