[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: slapd ssl



On Thu, 15 Jan 2004 13:58:20 +0100
MEÏ Sébastien <sebastien.mei@ens-lyon.fr> wrote:

[SNIP]

> Si quelqu'un a un retour d'expérience là dessus, je suis aussi
> interressé. J'essayerai de mettre les résultats de mes recherches ici,
> si celà interresse du monde.

Comme promis je mets les résultats de mes recherches (fais sous Debian
Sarge) :

J'ai réussi à faire marcher mon serveur ldap en ldaps avec un certificat
autosigné.

J'ai fait un certificat autosigné :
# cd /etc/ldap/
# openssl req -new -x509 -days 3650 -nodes -keyout ldap_rsa.key -out \
ldap_rsa.crt -newkey rsa:2048

Ca me fait un certificat x509 pour 10 ans sans mot de passe (-nodes)
avec une génération de clef privé dans ldap_rsa.key avec un certificat
généré dans ldap_rsa.crt, la clef est rsa sur 2048 bits (pour le fun)

dans le slapd.conf ( n'importe ou dans le fichier de conf on dirait )

TLSCertificateFile /etc/ldap/ldap_rsa.crt
TLSCertificateKeyFile /etc/ldap/ldap_rsa.key
TLSCACertificateFile

dans le ldap.conf du client 

TLS_CACERT /etc/ldap/ldap_rsa.crt

En aillant copier ldap_rsa.crt dans /etc/ldap de la machine client.

Test :

# ldapsearch -x -vv -b "dc=ens-lyon,dc=fr" -H \
ldaps://foulque.ens-lyon.fr  cn=*

Ca marche !!!

IMPORTANT : Ca ne marche pas si tu fais la mm manipe mais que tu fais
ton certificat avec une clef DSA. Pourquoi ???

Voici ma manip pour faire mon certificat avec une clef DSA :
# openssl dsaparam -C -out ldap_dsa.param 1024
# openssl req -new -x509 -days 3650 -nodes -keyout ldap_dsa.key -out \
ldap_dsa.crt -newkey dsa:ldap_dsa.param

Mais la connexion est refusé qd on utilise ce certificat avec un :
ldap_bind: Can't contact LDAP server (81)
        additional info: Error in the certificate.


Cordialement

MEÏ Sébastien



Reply to: