Eu criei meu certificado SSL por meio de um intermediário e anexei o certificado, a chave e a (cadeia) CA à configuração do Samba4 em [General] . Ao reiniciar o Samba, o servidor LDAP não está mais funcionando. Esse problema parece ocorrer somente quando eu uso meu certificado confiável, mas os certificados autoassinados funcionam bem.
Em smb.conf , adicionei o seguinte:
tls enabled = yes
tls keyfile = tls/dc1.example.com-key.pem
tls certfile = tls/dc1.example.com-cert.pem
tls cafile = tls/ca-chain-root.pem
Ao testá-lo com o seguinte, recebo uma resposta OK e deve ser bom:
openssl verify /usr/local/samba/private/tls/dc1.example.com-cert.pem -CAfile /usr/local/samba/private/tls/ca-chain-root.pem
Assim que essas alterações entrarem em vigor, o LDAP pára de ser executado, nmap confirma que não há nada na porta 636 agora, o teste abaixo não retorna nada porque o LDAP não está ativo:
openssl s_client -showcerts -connect localhost:636 -CAfile /usr/local/samba/private/tls/ca-chain-root.pem
Tenho certeza de que estou perdendo algo simples aqui, gerando corretamente certificados SSL para o restante dos meus servidores sem problemas. Qualquer ajuda seria apreciada.
Comandos OpenSSL usados para gerar o certificado:
openssl genrsa -out intermediate/private/dc1.example.com-key.pem 2048
openssl req -config intermediate/openssl.cnf -key intermediate/private/dc1.example.com-key.pem -new -sha256 -out intermediate/csr/dc1.example.com-csr.pem
openssl ca -config intermediate/openssl.cnf -extensions server_cert -days 3750 -notext -md sha256 -in intermediate/csr/dc1.example.com-csr.pem -out intermediate/certs/dc1.example.com-cert.pem