SSL 루틴:ssl23_write:ssl 핸드셰이크 실패:s23_lib.c:177:

tag-icon tag-icon openssl openldap certificate-authority debian-jessie
SSL 루틴:ssl23_write:ssl 핸드셰이크 실패:s23_lib.c:177:

openldap 마스터와 2개의 openldap 슬레이브가 있습니다. 비자체 서명 CA를 사용합니다.


openldap 마스터: Stretch Slapd 2.4.44+dfsg-5+d amd64
openssl 1.1.0f-3+deb9u1 amd64를 기반으로 debian 이름 지정


openldap 슬레이브: Stretch slapd 2.4.44+dfsg-5+d amd64
openssl 1.1.0f-3+deb9u1 amd64를 기반으로 debian1이라는 이름을 지정합니다.

openldap 마스터: 이름 ldap 기반 o oracle linux 7.4
slapd 2.4.44-5.el7.x86_64
openssl-1.0.2k-8.0.1.el7.x86_64

oracle linux 기반 openldap 클라이언트가 debian strech 기반 ldap 마스터에 연결할 수 없습니다.

내가 노예 데비안과 노예 오라클 리눅스에서 했던 일들:

root@debian1:~# openssl verify -CAfile /etc/ssl/contatogs.com.br/cacert.pem /etc/ssl/contatogs.com.br/newcerts/cn\=debian1\,ou\=computers\,dc\=contatogs\,dc\=com\,dc\=br.crt.pem 
/etc/ssl/contatogs.com.br/newcerts/cn=debian1,ou=computers,dc=contatogs,dc=com,dc=br.crt.pem: **OK**

[root@ldap ~]# openssl verify -CAfile /etc/openldap/cacerts/cacert.pem /etc/openldap/certs/cn\=ldap\,ou\=>
/etc/openldap/certs/cn=ldap,ou=computers,dc=contatogs,dc=com,dc=br.crt.pem: **OK**

지금까지는 너무 좋다 80)

이제 debian1 슬레이브에 문제가 있을 수 있습니다:

root@debian1:~# openssl s_client -connect debian.contatogs.com.br:389 -CAfile /etc/ssl/contatogs.com.br/cac
ert.pem  -state 
CONNECTED(00000003)
SSL_connect:before SSL initialization
SSL_connect:SSLv3/TLS write client hello
**SSL_connect:error in SSLv3/TLS write client hello**
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 176 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1519415735
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no

하지만 이 오류/경고에도 불구하고 debian/debian만 있는 마스터/슬레이브는 작동합니다.

이제 오라클 리눅스는 전혀 작동하지 않습니다......

[root@ldap ~]# 
<contatogs.com.br:389 -CAfile /etc/openldap/cacerts/cacert.pem  -state
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
139967037114272:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 289 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
   PSK identity: None
    PSK identity hint: None
    Start Time: 1519415876
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

문제가 CA인 것이 거의 확실하지만 수정할 방법을 모르겠습니다...80)

어떤 도움이라도 대단히 감사하겠습니다.

답변1

안녕하세요. 향후 검색을 위해 이 오류를 제거하는 올바른 방법을 찾았습니다. 슬레이브용 인증서를 생성할 때 클라이언트 부분(TLS 웹 클라이언트)을 사용하여 생성했으며 올바른 방법은 서버(TLS 웹 서버)로 인증서를 생성하는 것입니다. 이 오류를 발견하는 데 도움이 된 것은 다음 명령을 사용하는 serverfault의 또 다른 게시물이었습니다: openssl verify - Purpose sslserver -CAfile cacert.pem ldaprov1.crt

관련 정보