2

Срок действия моего последнего сертификата SSL истек вчера и был настроен на моем сервере LDAP, поэтому я приобрел новый ключ SSL, активировал его и снова попытался настроить, но все равно он показывал ту же ошибку. Сначала я попробовал ldapsearch -d 33 -H ldaps://ldap.example.com -b "dc=example,dc=com" -D "cn=manager,ou=Internal,dc=example,dc=com" -w Zsi9olp4rf8jWi6bmD чтобы соединиться с сервером, тогда вывод был

ldap_url_parse_ext(ldaps://ldap.example.com)
ldap_create
ldap_url_parse_ext(ldaps://ldap.example.com:636/??base)
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP ldap.example.com:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.2.0.102:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
TLS: certdb config: configDir='/etc/openldap/cacerts' tokenDescription='ldap(0)' certPrefix='' keyPrefix='' flags=readOnly
TLS: using moznss security dir /etc/openldap/cacerts prefix .
TLS: loaded CA certificate file /etc/openldap/cacerts/f96879fa.1.
**TLS: certificate [CN=*.example.com,OU=EssentialSSL Wildcard,OU=Domain Control Validated] is not valid - error -8181:Peer's Certificate has expired..**
TLS: error: connect - force handshake failure: errno 21 - moznss error -8174
TLS: can't connect: TLS error -8174:security library: bad database..
ldap_err2string
**ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)**

Поэтому я скопировал новые ключи в файл /etc/openldap/cacerts/cert.pem сервера LDAP, но есть другой файл /etc/openldap/cacerts/key.pem . Теперь я не понимаю, к какому файлу мне следует добавить ключи.

У Клиентов много файлов в папке cacerts. Пожалуйста, проверьте прикрепленные фотографии на наличие файлов.

Файл клиента cacerts

файл сервера cacerts

Пожалуйста, предложите, где мне нужно добавить новый ключ ssl для правильной конфигурации.

1 ответ1

1

SSL требует как личного ключа, так и открытого ключа. По причинам, выходящим за рамки этого ответа, ваш открытый ключ отправляется в центр сертификации (или CA) в вашем запросе на подпись сертификата (CSR) и включается в возвращаемый вам сертификат.

Серверу нужен как закрытый, так и открытый ключ (почти всегда завернутый в сертификат) для работы. Вот почему вы видите два файла.

Если вы сгенерировали новый сертификат с тем же закрытым ключом, вы сможете заменить только сертификат. Большинство онлайн-инструкций по созданию CSR также генерируют новый закрытый ключ (в той же папке). В этом случае вам нужно будет найти и использовать этот закрытый ключ вместе с вашим сертификатом.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .