내 마지막 SSL 인증서가 어제 만료되었고 내 LDAP 서버에 구성되었으므로 새 SSL 키를 구입하여 활성화하고 다시 구성을 시도했지만 여전히 동일한 오류가 표시됩니다. 먼저 ldapsearch -d 33 -H ldaps://ldap.example.com -b "dc=example,dc=com" -D "cn=manager,ou=Internal,dc=example,dc=com" -w Zsi9olp4rf8jWi6bmD
서버에 연결을 시도한 후 출력은 다음과 같습니다.
ldap_url_parse_ext(ldaps://ldap.example.com)
ldap_create
ldap_url_parse_ext(ldaps://ldap.example.com:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP ldap.example.com:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.2.0.102:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: certdb config: configDir='/etc/openldap/cacerts' tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
TLS: using moznss security dir /etc/openldap/cacerts prefix .
TLS: loaded CA certificate file /etc/openldap/cacerts/f96879fa.1.
**TLS: certificate [CN=*.example.com,OU=EssentialSSL Wildcard,OU=Domain Control Validated] is not valid - error -8181:Peer's Certificate has expired..**
TLS: error: connect - force handshake failure: errno 21 - moznss error -8174
TLS: can't connect: TLS error -8174:security library: bad database..
ldap_err2string
**ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)**
그래서 새 키를 LDAP 서버 /etc/openldap/cacerts/cert.pem파일에 복사했는데 다른 파일이 있습니다 /etc/openldap/cacerts/key.pem. 이제 어떤 파일에 키를 추가해야 할지 혼란스럽습니다.
클라이언트의 cacerts 폴더에는 많은 파일이 있습니다. 파일은 첨부된 사진을 확인해주세요.
적절한 구성을 위해 새 SSL 키를 추가해야 하는 위치를 제안해 주세요.
답변1
SSL에는 개인 키와 공개 키가 모두 필요합니다. 이 답변의 범위를 벗어나는 이유로 인해 공개 키는 인증서 서명 요청(CSR)을 통해 인증 기관(또는 CA)으로 전송되고 귀하에게 반환되는 인증서에 포함됩니다.
서버가 작동하려면 개인 키와 공개 키(거의 항상 인증서로 포장됨)가 모두 필요합니다. 그래서 두 개의 파일이 보입니다.
동일한 개인 키를 사용하여 새 인증서를 생성한 경우 인증서만 교체할 수 있습니다. CSR 생성을 위한 대부분의 온라인 지침은 동일한 폴더에 새 개인 키도 생성합니다. 이 경우 인증서와 함께 해당 개인 키를 찾아 사용해야 합니다.