только что провел много времени с Centos 6.7 и OpenLDAP. Он был настроен с помощью простых сертификатов и корневого центра сертификации в небольших PEM-файлах, но после обновления с Centos 6.4 подключение к slapd с помощью SSL не удалось.
наконец я увидел это: moznss error -12268 и прочитал здесь:http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.htmlи я подумал об этом, и действительно, я смог найти директиву конфигурации, которая отключает sslv3, и, по-видимому, из-за этого «у него» закончились шифры или что-то в этом роде. Мне нужно разобраться в этом подробнее. Может быть, у кого-то есть рекомендуемая директива TLSCipherSuite или он может подтвердить, что значения по умолчанию в CentOS хороши.
в любом случае...в заголовке все еще написано это предупреждение, как упоминалось выше: TLS: нет разблокированного сертификата для сертификата ''
может кто-нибудь объяснить? я погуглил и не могу найти контекст или определение. там написано TLS, но это из базы данных сертификатов Mozilla NSS?
slapd говорит следующее, когда я подключаюсь к нему через openssl s_client на порт 636:
slapd -d stats -h 'ldap:/// ldapi:/// ldaps:/// ' -u ldap
[...]
TLS: certificate 'mycertificate' successfully loaded from moznss database.
TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'.
560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256
(я отредактировал имена там, OU=XXX — это тема «mycertificate»)
У меня есть работающее SSL-соединение, но я просто хочу узнать, что такое разблокированный сертификат в данном контексте, а также почему он так говорит.
любые указания будут высоко оценены.
решение1
Я нашел это сообщение в исходном коде openldap-2.4.39/libraries/libldap/tls_m.c В комментарии говорится: «предпочитаю разблокированный ключ, затем ключ из открытой базы данных certdb, затем любой другой»
Я предполагаю, что процедура способна разблокировать ключ и кэшировать ответ. Хотя это, похоже, предупреждающее сообщение, а не ошибка.