passei muito tempo com centos 6.7 e openldap. ele foi configurado com certificados simples e um root-ca em pequenos arquivos pem, mas após uma atualização do centos 6.4, a conexão ao slapd com SSL falhou.
finalmente vi isto: erro moznss -12268 e li aqui:http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.htmle pensei sobre isso e, de fato, consegui encontrar uma diretiva de configuração que desativou o sslv3 e, aparentemente, de alguma forma, por causa disso, 'ele' ficou sem cifras ou algo assim. eu tenho que investigar isso um pouco mais. talvez alguém tenha uma diretiva TLSCipherSuite recomendada ou possa confirmar se os padrões do centos são bons.
de qualquer forma...ainda diz este aviso, como mencionado acima, no título: TLS: nenhum certificado desbloqueado para certificado ''
alguém pode explicar isso? pesquisei no Google e não consigo encontrar contexto ou definição. diz TLS, mas é do banco de dados de certificados mozilla nss?
slapd diz isso quando eu me conecto a ele via openssl s_client na porta 636:
slapd -d stats -h 'ldap:/// ldapi:/// ldaps:/// ' -u ldap
[...]
TLS: certificate 'mycertificate' successfully loaded from moznss database.
TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'.
560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256
(eu editei os nomes lá em cima, o material OU=XXX é o assunto de 'mycertificate')
tenho uma conexão SSL funcionando, mas só quero saber o que é um certificado desbloqueado neste contexto e também por que diz isso.
quaisquer dicas são muito apreciadas.
Responder1
Encontrei esta mensagem no código-fonte openldap-2.4.39/libraries/libldap/tls_m.c O comentário diz "prefira a chave desbloqueada, depois a chave do certdb aberto e qualquer outra"
Meu palpite é que a rotina é capaz de desbloquear uma chave e armazenar a resposta em cache. Parece ser uma mensagem de aviso, não um erro.