Centos 6.7과 openldap을 사용하면서 많은 시간을 보냈습니다. 간단한 인증서와 멋진 작은 pem 파일의 루트 CA로 구성되었지만 centos 6.4에서 업그레이드한 후 SSL을 사용하여 slapd에 연결하지 못했습니다.
마침내 나는 이것을 보았습니다: moznss error -12268 그리고 여기를 읽어보세요:http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html그리고 그것에 대해 생각해보니 실제로 sslv3을 비활성화하는 구성 지시문을 찾을 수 있었는데 그 이유는 '그것'에 암호 같은 것이 부족했기 때문인 것 같습니다. 좀 더 조사해 봐야 겠어요. 누군가 권장 TLSCipherSuite 지시문을 가지고 있거나 centos 기본값이 양호한지 확인할 수 있습니다.
어쨌든... 위에서 언급한 것처럼 제목에 TLS: 인증서에 대한 잠금 해제된 인증서가 없습니다. ''라는 경고가 계속 표시됩니다.
누군가 설명해줄 수 있나요? 구글링해봤는데 맥락이나 정의를 찾을 수가 없네요. TLS라고 되어 있는데, Mozilla NSS 인증서 데이터베이스에서 가져온 것인가요?
slapd는 포트 636의 openssl s_client를 통해 연결할 때 다음과 같이 말합니다.
slapd -d stats -h 'ldap:/// ldapi:/// ldaps:/// ' -u ldap
[...]
TLS: certificate 'mycertificate' successfully loaded from moznss database.
TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'.
560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256
(저는 위에서 이름을 편집했습니다. OU=XXX 항목은 'mycertificate'의 주제입니다)
SSL 연결이 작동 중이지만 이 컨텍스트에서 잠금 해제된 인증서가 무엇인지, 그리고 왜 그렇게 말하는지 알고 싶습니다.
어떤 조언이라도 대단히 감사드립니다.
답변1
소스 코드 openldap-2.4.39/libraries/libldap/tls_m.c에서 이 메시지를 찾았습니다. 주석에는 "잠금 해제된 키를 선호하고, 열린 certdb의 키를 선호하고, 그 다음에는 다른 키를 선호합니다"라고 나와 있습니다.
내 생각에는 루틴이 키를 잠금 해제하고 답변을 캐싱할 수 있는 것 같습니다. 하지만 오류가 아닌 경고 메시지인 것 같습니다.