openssl s_client ignorando o certificado de CA raiz customizado em / usr / share / ca-certificates

2

Eu configurei um servidor do Active Directory e configurei o LDAP-sobre-SSL, que funciona bem para máquinas no domínio, mas como está usando certificados provisionados pelos Serviços de Certificados do AD, ele causa problemas em outros lugares.

Estou tentando conectar-me à porta LDAP-sobre-SSL de uma caixa Debian usando openssl s_client , e estou recebendo este erro:

Verify return code: 21 (unable to verify the first certificate)

Eu adicionei meu novo certificado de CA raiz a /usr/share/ca-certificates/extra/my-new-root-ca.crt e execute update-ca-certificates , e usar este comando funciona:

openssl s_client -CAfile /usr/share/ca-certificates/extra/my-new-root-ca.crt -showcerts -connect my.domain.com:636

Considerando isso:

openssl s_client -showcerts -connect my.domain.com:636

me faz esses erros no topo da saída:

depth=0
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0
verify error:num=27:certificate not trusted
verify return:1
depth=0
verify error:num=21:unable to verify the first certificate
verify return:1

Além disso, este comando:

ldapsearch -d8 -x -LLL -H ldaps://my.domain.com -D cn=username -w password -b "dc=my,dc=domain,dc=com" -s sub "(objectClass=user)" givenName

me informa essa saída:

TLS: can't connect: (unknown error code).
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Portanto, parece que nem openssl s_client nem ldapsearch estão recebendo o certificado de /etc/ssl/certs/ca-certificates.crt . É realmente possível obter o openssl para aceitar o meu certificado?

    
por Benjamin Nolan 24.11.2014 / 01:11

1 resposta

2

O OpenSSL pode ser um pouco complicado .. sobre quais certificados ele confia - às vezes ele não usa o armazenamento de certificados confiáveis do sistema. Ajuste sua configuração no openssl.cnf se você estiver inclinado a confiar no armazenamento certo.

Para ldapsearch , o mesmo tipo de oferta - você deve definir o certificado confiável em ldap.conf para realmente usar o certificado confiável, a opção para isso é TLS_CACERT .

    
por 24.11.2014 / 01:58