Erro ao configurar o novo certificado SSL no servidor e no cliente LDAP

Navegue suas respostas
2

Meu último certificado SSL expirou ontem e que foi configurado no meu servidor LDAP, então eu comprei uma nova chave SSL ativada e tentei novamente configurar, mas ele ainda mostra o mesmo erro. Primeiro eu tentei ldapsearch -d 33 -H ldaps://ldap.example.com -b "dc=example,dc=com" -D "cn=manager,ou=Internal,dc=example,dc=com" -w Zsi9olp4rf8jWi6bmD para se conectar com o servidor, em seguida, a saída foi 

ldap_url_parse_ext(ldaps://ldap.example.com)
ldap_create
ldap_url_parse_ext(ldaps://ldap.example.com:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP ldap.example.com:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.2.0.102:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: certdb config: configDir='/etc/openldap/cacerts' tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
TLS: using moznss security dir /etc/openldap/cacerts prefix .
TLS: loaded CA certificate file /etc/openldap/cacerts/f96879fa.1.
**TLS: certificate [CN=*.example.com,OU=EssentialSSL Wildcard,OU=Domain Control Validated] is not valid - error -8181:Peer's Certificate has expired..**
TLS: error: connect - force handshake failure: errno 21 - moznss error -8174
TLS: can't connect: TLS error -8174:security library: bad database..
ldap_err2string
**ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)**

Então eu copiei novas chaves para o arquivo /etc/openldap/cacerts/cert.pem do servidor LDAP mas há um outro arquivo /etc/openldap/cacerts/key.pem . Agora estou confuso sobre qual arquivo devo adicionar as chaves.

Em clientes, há muitos arquivos na pasta cacerts. Por favor, verifique as fotos anexadas para arquivos.

Por favor, sugira onde eu preciso adicionar uma nova chave ssl para a configuração correta.

    
por Avkash 22.09.2016 / 09:45

1 resposta

1

O SSL requer uma chave privada e uma chave pública. Por razões além do escopo desta resposta, sua chave pública é enviada para uma Autoridade de Certificação (ou CA) na sua Solicitação de Assinatura de Certificado (CSR) e incluída no certificado que retorna para você.

Um servidor precisa da chave privada e pública (quase sempre envolvida em um certificado) para funcionar. É por isso que você vê dois arquivos.

Se você gerou o novo certificado com a mesma chave privada, poderá substituir apenas o certificado. A maioria das instruções on-line para criar um CSR também gera uma nova chave privada (na mesma pasta). Nesse caso, você precisará encontrar e usar essa chave privada em conjunto com seu certificado.

    
por 31.03.2017 / 21:48

Tags

Como conectar o monitor portátil USB Type-C à placa gráfica com porta de exibição ou HDMI Como exibir o certificado de um servidor quando o certificado é assinado por uma AC desconhecida?