Назад | Перейти на главную страницу

what does it mean ? openldap: TLS: no unlocked certificate for certificate '<some certificate="" subject="">'</some>

просто провел много времени с centos 6.7 и openldap. он был настроен с простыми сертификатами и root-ca в красивых маленьких файлах pem, но после обновления с centos 6.4 подключение к slapd с SSL не удалось.

наконец я увидел это: ошибка moznss -12268 и прочитал здесь: http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html и подумал об этом, и действительно, я мог найти директиву конфигурации, которая отключила sslv3 и, очевидно, каким-то образом из-за того, что у него закончились шифры или что-то в этом роде. Я должен изучить это еще немного. возможно, у кого-то есть рекомендованная директива TLSCipherSuite или может подтвердить, что значения по умолчанию centos верны.

в любом случае ... он по-прежнему говорит это предупреждение, как упоминалось выше, в заголовке: TLS: нет разблокированного сертификата для сертификата ''

кто-нибудь может это объяснить? Я погуглил и не нашел ни контекста, ни определения. там написано TLS, но это из базы данных сертификатов mozilla nss?

slapd говорит это, когда я подключаюсь к нему через openssl s_client на порту 636:

slapd -d stats  -h 'ldap:/// ldapi:/// ldaps:/// '  -u ldap
[...]
TLS: certificate 'mycertificate'      successfully loaded from moznss database.
TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'.
560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256

(я отредактировал имена там, материал OU = XXX является предметом 'mycertificate')

У меня есть работающее ssl-соединение, но я просто хочу знать, что такое разблокированный сертификат в этом контексте, а также почему он так говорит.

любые указатели очень ценятся.

Я нашел это сообщение в исходном коде openldap-2.4.39 / libraries / libldap / tls_m.c В комментарии говорится: «предпочитаю разблокированный ключ, затем ключ из открытого certdb, затем любой другой»

Я предполагаю, что эта процедура способна разблокировать ключ и кэшировать ответ. Но это похоже на предупреждение, а не на ошибку.