Eu tenho um mestre openldap e 2 escravos openldap. Usando uma CA sem autoassinatura.
mestre openldap: nome debian baseado em stretch
slapd 2.4.44+dfsg-5+d amd64
openssl 1.1.0f-3+deb9u1 amd64
escravo openldap: nome debian1 baseado em stretch
slapd 2.4.44+dfsg-5+d amd64
openssl 1.1.0f-3+deb9u1 amd64
mestre openldap: nome ldap baseado em oracle linux 7.4
slapd 2.4.44-5.el7.x86_64
openssl-1.0.2k-8.0.1.el7.x86_64
O cliente openldap baseado no oracle linux não pôde se conectar ao ldap master baseado no debian strech.
Coisas que fiz no escravo debian e no escravo oracle linux:
root@debian1:~# openssl verify -CAfile /etc/ssl/contatogs.com.br/cacert.pem /etc/ssl/contatogs.com.br/newcerts/cn\=debian1\,ou\=computers\,dc\=contatogs\,dc\=com\,dc\=br.crt.pem
/etc/ssl/contatogs.com.br/newcerts/cn=debian1,ou=computers,dc=contatogs,dc=com,dc=br.crt.pem: **OK**
[root@ldap ~]# openssl verify -CAfile /etc/openldap/cacerts/cacert.pem /etc/openldap/certs/cn\=ldap\,ou\=>
/etc/openldap/certs/cn=ldap,ou=computers,dc=contatogs,dc=com,dc=br.crt.pem: **OK**
até agora tudo bem 80)
Agora, possivelmente, problema no escravo debian1:
root@debian1:~# openssl s_client -connect debian.contatogs.com.br:389 -CAfile /etc/ssl/contatogs.com.br/cac
ert.pem -state
CONNECTED(00000003)
SSL_connect:before SSL initialization
SSL_connect:SSLv3/TLS write client hello
**SSL_connect:error in SSLv3/TLS write client hello**
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 176 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1519415735
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
Mas mestre/escravo apenas com debian/debian funciona apesar deste erro/aviso.
Agora o oracle linux não funciona de jeito nenhum......
[root@ldap ~]#
<contatogs.com.br:389 -CAfile /etc/openldap/cacerts/cacert.pem -state
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
139967037114272:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 289 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
Start Time: 1519415876
Timeout : 300 (sec)
Verify return code: 0 (ok)
Tenho quase certeza de que o problema é CA, mas não sei como consertar...80)
Qualquer ajuda será muito apreciada.
Responder1
Olá, para pesquisas futuras, encontrei a maneira correta de me livrar desse erro. Quando crio o certificado para escravo eu criei usando a parte do cliente (TLS Web client) e o correto é criar um certificado como servidor (TLS Web server). O que me ajudou a descobrir esse erro foi outra postagem em serverfault com este comando: openssl verify -purpose sslserver -CAfile cacert.pem ldaprov1.crt