剛剛花了很多時間使用 centos 6.7 和 openldap。它在漂亮的小 pem 檔案中配置了簡單的憑證和 root-ca,但從 centos 6.4 升級後,使用 SSL 連接到 slapd 失敗。
最後我看到了這個:moznss error -12268 並在這裡閱讀:http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html想了一下,確實,我可以找到一個禁用 sslv3 的設定指令,顯然是因為「它」用完了密碼或其他東西。我得再調查一下。也許有人有推薦的 TLSCipherSuite 指令,或可以確認 centos 預設值是好的。
無論如何......它仍然顯示此警告,如上所述,在標題中:TLS:證書“沒有解鎖證書”
有人可以解釋一下嗎?我用谷歌搜索,找不到上下文或定義。它說 TLS,但它是來自 mozilla nss 憑證資料庫嗎?
當我透過連接埠 636 上的 openssl s_client 連接到 slapd 時,slapd 會這樣說:
slapd -d stats -h 'ldap:/// ldapi:/// ldaps:/// ' -u ldap
[...]
TLS: certificate 'mycertificate' successfully loaded from moznss database.
TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'.
560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256
(我在那裡編輯了名稱,OU=XXX 的內容是「mycertificate」的主題)
我有一個有效的 ssl 連接,但我只想知道在這種情況下解鎖證書是什麼,以及為什麼這麼說。
非常感謝任何指點。
答案1
我在原始碼 openldap-2.4.39/libraries/libldap/tls_m.c 中找到了這條訊息 評論說“更喜歡解鎖密鑰,然後是打開的 certdb 中的密鑰,然後是任何其他密鑰”
我的猜測是該例程能夠解鎖密鑰並緩存答案。但這似乎是一條警告訊息,而不是錯誤。