ldaps://에서 TLS 협상이 실패했습니다. - SSLV3 경고 잘못된 기록 Mac

ldaps://에서 TLS 협상이 실패했습니다. - SSLV3 경고 잘못된 기록 Mac

openldap 환경 중 하나에서 문제가 발생했습니다. ldaps://를 통해 보안 쿼리를 활성화하는 동안 통합 환경이 out ldapsearch 명령에 다음 오류를 계속 반환합니다.

SSL3_READ_BYTES:sslv3 alert bad record mac

프로덕션 환경을 가리키는 동일한 명령이 올바르게 연결되고 일치하는 항목을 반환합니다. 포트 389 및 ldap://를 통한 통합 환경에 대한 동일한 쿼리도 작동합니다.

둘 다 다음 버전에서 실행됩니다.

  • Red Hat Enterprise Linux Server 릴리스 6.2(산티아고)
  • OpenLDAP: slapd 2.4.23
  • OpenSSL 1.0.0-fips

각 인증서에는 동일한 CA가 서명한 자체 인증서가 있습니다.

통합 환경에서:

/etc/openldap/slapd.d/cn\=config.ldif :

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapint.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldapint.key

그리고 동일한 파일에서 프로덕션 환경은 다음과 같습니다.

olcTLSCACertificateFile: /etc/openldap/certs/root_CA.pem
olcTLSCertificateFile: /etc/openldap/certs/openldapPRO.pem
olcTLSCertificateKeyFile: /etc/openldap/certs/openldap.key

그리고 우리는 다음을 수행하여 이 문제를 확인할 수 있습니다:

$ openssl s_client -connect localhost:636 -showcerts -CApath /etc/openldap/cert/root_CA.pem
CONNECTED(00000003)
depth=1 L = (...), OU = (...), CN = (...)
verify error:num=19:self signed certificate in certificate chain
verify return:0
139866277001032:error:140943FC:SSL routines:SSL3_READ_BYTES:sslv3 alert bad record mac:s3_pkt.c:1193:SSL alert number 20
139866277001032:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:184:
---

무엇이 잘못되었는지, 그리고 OpenLDAP에 대해 보안 LDAPS://를 구성하는 방법에 대한 아이디어가 있습니까?

감사해요!

답변1

SSL3_READ_BYTES:sslv3 잘못된 기록 경고 mac

듣기로는 OpenSSL의 버그인 것 같습니다. 보다데비안 버그 212410그리고데비안 버그 338006.

다음은 OpenSSL 메일링 리스트에서 논의되고 있는 1.0.0에 대한 유사한 문제입니다:OpenSSL SSL_Accept 오류.

유사한 메시지를 생성하는 AES-NI 버그가 있었지만 1.0.1c에서 발견되어 1.0.1d에서 수정되었습니다(TLS 1.1 및 TLS 12에 영향을 미쳤습니다).변경 로그).

아마도 표준 권장 사항이 적용될 것이라고 생각합니다. 귀하와 다른 엔드포인트가 최신 OpenSSL을 사용하고 있는지 확인하세요.

관련 정보