Существует ли подписывающая иерархия (т.е. не самоподписанная)? "подстановочный знак" и "самоподписанный" не являются исключительными.
Коммерческий сертификат подстановочного знака будет иметь иерархию, то есть один или несколько промежуточных CA, и корневой CA.
sha-512 или md5 - это хэши, используемые в подписи сертификата, они не являются алгоритмами шифрования. Они используются для проверки целостности сертификата, шифр, используемый для соединения, согласовывается независимо от этого.
Я думаю, что наиболее вероятные причины: sha512 (точнее, sha512WithRSAEncryption) не поддерживается в Ubuntu 10; или на машине отсутствуют один или несколько сертификатов CA (промежуточный или корневой), поэтому полная проверка цепочки не может быть завершена.
Вы можете увидеть, может ли openssl иметь дело с новым сертификатом сервера, запустив (на машине с Ubuntu 10):
openssl x509 -in newservercert.crt -noout -text
хотя это не может быть окончательным. Это также может быть полезно:
ldapsearch -x -Z -v -h your.ldap.server
(Существует небольшая вероятность, что вместо OpenSSL используется GnuTLS, ничего не поделаешь, извините!)
Вероятно, вы можете подтвердить или отклонить проблему цепочки, добавив это в ваш файл /etc/ldap/ldap.conf:
TLS_REQCERT never
Если это поможет, вы должны получить недостающие части цепочки и добавить их в локальное хранилище. Способ выполнения зависит от конфигурации клиента, проверяя наличие "TLS_CACERT" и / или TLS_CACERTDIR в /etc/ldap/ldap.conf. директивы, где вы начинаете.
Менее вероятные причины включают в себя:
- неспособность проверить CRL (проверьте ldap.conf, чтобы видеть, включен ли он)
И при условии, что больше ничего не изменилось, для полноты включены невероятные причины:
- версия протокола сервера или набор шифров, не поддерживаемый клиентом
- изменение в поддерживаемых механизмах SASL