Re: Petit problème de validation certificat avec OpenLDAP / OpenSSL.

To: Liste utilisateur français de Debian <debian-user-french@lists.debian.org>
Subject: Re: Petit problème de validation certificat avec OpenLDAP / OpenSSL.
From: Farget Vincent <farget@olfac.univ-lyon1.fr>
Date: Mon, 10 Oct 2005 14:59:18 +0200
Message-id: <[🔎] 434A65A6.7020309@olfac.univ-lyon1.fr>
Reply-to: farget@olfac.univ-lyon1.fr
In-reply-to: <[🔎] 87zmpldpnj.fsf@stellie.bailly.home>
References: <[🔎] 43463C62.2040409@olfac.univ-lyon1.fr> <[🔎] 87zmpldpnj.fsf@stellie.bailly.home>

Leopold BAILLY a écrit :

Farget Vincent <farget@olfac.univ-lyon1.fr> writes:

Bonjour à tous,
Je suis en train de mettre en place, sur un serveur de test Debain Sargeun service d'annuaire 'OpenLDAP' sécurisé.
Celui-ci marche bien en 'ldap' mais pas en 'ldaps'.
J'ai un petit problème de vérification de certificat.



[...]

Modifications dans '/etc/ldap/slapd.conf' :
...
-> TLSCipherSuite HIGH:MEDIUM:+SSLv2

-> ldapsearch -b "dc=TestNSS" -LLL -H "ldaps://aaa.bbb.ccc.ddd/" -x
"(cn=admin)"
ERREUR :
ldap_bind: Can't contact LDAP server (-1)
       additional info: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed


           ^^^^

[...]

New, TLSv1/SSLv3, Cipher is AES256-SHA


             ^^^^^

Server public key is 1024 bit
SSL-Session:
   Protocol  : TLSv1
   Cipher    : AES256-SHA
Session-ID:1D2FDD0C620A67C44DAD128FD35FE3D3CC9F554B9716C73C08CE97FF38F9822B
   Session-ID-ctx:
Master-Key:0C7D078193BB18BE43EB851BE83EE27C8BCE623AAA025E8BF9A8D8CA4E6AC80727ECFF596B257EFD43263F9AC6CF7B9F
   Key-Arg   : None
   Start Time: 1128671693
   Timeout   : 300 (sec)
   Verify return code: 21 (unable to verify the first certificate)
---



L'erreur est assez clair :-)



En effet...


Problème résolu !!!

Rien à voir avec le '+SSLv2' (TLSCipherSuite) :-(

Il fallait juste avoir, sur l'ordi client, le certificat CA racine duserveur ('cacert.pem'), qu'il faut mentionné dans le fichier :

/etc/ldap/ldap.conf :
...
TLS_CACERT /etc/ldap/cacert.pem
...


Cordialement.
--
-
Mr FARGET Vincent
Administrateur Systèmes / Informaticien de Laboratoire
UMR 5020 - Laboratoire des Neurosciences et Systemes Sensoriels
Universite Claude Bernard LYON 1 - CNRS
50, avenue Tony Garnier
69366 LYON Cedex 07
## Ce message est signé par un certificat CNRS ##
http://igc.services.cnrs.fr/Doc/General/trust.html
http://www.urec.cnrs.fr/igc/Certifs_CNRS.html
#####
# Pour que la signature soit valide, vous devrez
#  récupérer préalablement le certificat de
#  l'autorité de certification CNRS-Plus en
#  cliquant sur le lien ci dessous :
http://igc.services.cnrs.fr/cgi-bin/viewca?cmd=load&CA=CNRS-Plus&ca=CNRS-Plus

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature

Reply to:

Follow-Ups:
- Re: Petit problème de validation certificat avec OpenLDAP / OpenSSL.
  - From: Leopold BAILLY <leo.bailly@infonie.fr>

References:
- Petit problème de validation certificat avec OpenLDAP / OpenSSL.
  - From: Farget Vincent <farget@olfac.univ-lyon1.fr>
- Re: Petit problème de validation certificat avec OpenLDAP / OpenSSL.
  - From: Leopold BAILLY <leo.bailly@infonie.fr>

Prev by Date: Re: PC portable: configuration réseau et internet
Next by Date: mot de passe foireux sous Ubuntu
Previous by thread: Re: Petit problème de validation certificat avec OpenLDAP / OpenSSL.
Next by thread: Re: Petit problème de validation certificat avec OpenLDAP / OpenSSL.
Index(es):
- Date
- Thread