TLS: o nome do host não corresponde ao CN no certificado de mesmo nível

5

estou tentando conectar o LDAP ao StartTLS, mas estou preso a um problema. Eu segui passo a passo este guia link e o LDAP está funcionando bem bem como "ldapsearch-xZZ -h 172.25.80.144" no meu Ubuntu Sever 12.04

No entanto, no meu Ubuntu Desktop 11.04 Client, recebo este erro:

ldapsearch -x -H 172.25.80.144 -ZZ 
ldap_start_tls: Connect error (-11)
                additional info: **TLS: hostname does not match CN in peer certificate**

Servidor /etc/ldap/ldap.conf

 BASE dc=prueba,dc=borja
 URI  ldap://prueba.borja
 SIZELIMIT 12
 TIMELIMIT 15
 DEREF     never
 TLS_CACERT /etc/ssl/certs/ca-certificates.crt

Cliente /etc/ldap.conf

 ssl start_tls
 tls_checkpeer no

/etc/ldap/ldap.conf

 BASE dc=prueba,dc=borja
 URI  ldap://prueba.borja
 SIZELIMIT 12
 TIMELIMIT 15
 DEREF never
 TLS_REQCERT allow

Alguém poderia me dizer como consertar isso? Eu acho que o host está ok.

Obrigado!

    
por borjamf 28.11.2012 / 20:26

2 respostas

6

Tente

TLS_REQCERT never

no /etc/ldap/ldap.conf. Isso impedirá a verificação do certificado. Note que isso torna a conexão ainda menos segura.

/etc/ldap.conf não deve afetar o ldapsearch (1)

Tente também eliminar o segundo -Z na linha de comando. Isso pode ser o que está forçando a falha, mesmo que você tenha permissão TLS_REQCERT.

    
por 28.11.2012 / 20:34
2

Algumas coisas eu notei olhando para este post.

Primeiro, você está executando o seu servidor LDAP em LDAP padrão e não em LDAPS. ou seja, ldaps: //prueba.borja

Segundo, com base em sua configuração, não parece haver certificado configurado para o servidor LDAP ser exibido. Tudo é identificado é o CA que é usado para trusts quando o servidor atua como um cliente na resolução de uma cadeia CA e / ou o envio da cadeia quando o cliente a solicita.

Por fim, o erro é do cliente, indicando que o certificado TLS em exibição tem um Nome Comum (CN) e / ou Nome Alternativo de Assunto (SAN) que não foi solicitado pelo cliente. Isso requer que o cliente se conecte ao servidor LDAP para fazer algo parecido com isto

ldapsearch -x -H prueba.borja -ZZ

Isso requer que o certificado tenha um Nome Comum (CN) de prueba.borja ou um Nome Alternativo de Assunto (SAN) de prueba.borja

Além disso, apenas como um lembrete, o certificado que o servidor LDAP atende deve ser assinado pela raiz e intermediários da autoridade de certificação (CA) que você pode ter. Caso contrário, você receberá erros adicionais. Se você estiver usando uma autoridade de certificação gerada pela empresa, seu administrador poderá gerar uma. Se você estiver usando uma autoridade de certificação de domínio público, entre em contato com o fornecedor para obter a geração de certificado. Em ambos os casos, certifique-se de informar os ajustes para o nome comum e / ou o nome alternativo do assunto para o nome que você identificou.

Depois de configurar tudo corretamente, um handshake TLS adequado ocorrerá com êxito

    
por 09.11.2018 / 03:33