Eu configurei um servidor do Active Directory e configurei o LDAP-sobre-SSL, que funciona bem para máquinas no domínio, mas como está usando certificados provisionados pelos Serviços de Certificados do AD, ele causa problemas em outros lugares.
Estou tentando conectar-me à porta LDAP-sobre-SSL de uma caixa Debian usando openssl s_client
, e estou recebendo este erro:
Verify return code: 21 (unable to verify the first certificate)
Eu adicionei meu novo certificado de CA raiz a /usr/share/ca-certificates/extra/my-new-root-ca.crt
e execute update-ca-certificates
, e usar este comando funciona:
openssl s_client -CAfile /usr/share/ca-certificates/extra/my-new-root-ca.crt -showcerts -connect my.domain.com:636
Considerando isso:
openssl s_client -showcerts -connect my.domain.com:636
me faz esses erros no topo da saída:
depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=27:certificate not trusted
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1
Além disso, este comando:
ldapsearch -d8 -x -LLL -H ldaps://my.domain.com -D cn=username -w password -b "dc=my,dc=domain,dc=com" -s sub "(objectClass=user)" givenName
me informa essa saída:
TLS: can't connect: (unknown error code).
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Portanto, parece que nem openssl s_client
nem ldapsearch
estão recebendo o certificado de /etc/ssl/certs/ca-certificates.crt
. É realmente possível obter o openssl para aceitar o meu certificado?