Как создать правильно сертификат LDAPS SAMBA DC?

Question

KaLans @KaLans

Active Directory

Как создать правильно сертификат LDAPS SAMBA DC?

Подскажите, что делаю не так при создании сертификата для ldaps?
[root@dc1 ~]# samba-tool domain info 127.0.0.1

spoiler

Forest           : site1.ru
Domain           : site1.ru
Netbios domain   : SITE1
DC name          : dc1.site1.ru
DC netbios name  : DC1
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name

Генерация сертификатов:

spoiler

[root@dc1 tls]# openssl genrsa -out rootCA.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..............+++++
...............................................................................+++++
e is 65537 (0x010001)


[root@dc1 tls]# openssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) []:City123 st.
Locality Name (eg, city) []:City123
Organization Name (eg, company) []:site1
Organizational Unit Name (eg, section) []:IT
Common Name (e.g., your name or your server's hostname) []:DC1.site1.ru
Email Address []:admin@site1.ru



[root@dc1 tls]# openssl genrsa -out dc1.site1.ru.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
...................................................+++++
..............................................................................................................................................+++++
e is 65537 (0x010001)
[root@dc1 tls]# 


[root@dc1 tls]# openssl req -new -key dc1.site1.ru.key -out dc1.site1.ru.csr
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) []:City123 st.
Locality Name (eg, city) []:City123
Organization Name (eg, company) []:site1
Organizational Unit Name (eg, section) []:IT
Common Name (e.g., your name or your server's hostname) []:DC1.site1.ru
Email Address []:admin@site1.ru

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:12345678
An optional company name []:site1.RU


[root@dc1 tls]# openssl x509 -req -in dc1.site1.ru.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out dc1.site1.ru.crt -days 5000
Signature ok
subject=C = RU, ST = City123 st., L = City123, O = site1, OU = IT, CN = DC1.site1.ru, emailAddress = admin@site1.ru
Getting CA Private Key

smb.conf

spoiler

# TLS
        tls enabled  = yes
        tls keyfile  = tls/dc1.site1.ru.key
        tls certfile = tls/dc1.site1.ru.crt
        tls cafile   = tls/rootCA.crt

Проверка:
Проверяю подключение на сервере dc1

spoiler

[root@dc1 ~]# ldapsearch -d 1 -H ldaps://dc1.site1.ru:636
ldap_url_parse_ext(ldaps://dc1.site1.ru:636)
ldap_create
ldap_url_parse_ext(ldaps://dc1.site1.ru:636/??base)
ldap_pvt_sasl_getmech
ldap_search
put_filter: "(objectclass=*)"
put_filter: simple
put_simple_filter: "objectclass=*"
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP dc1.site1.ru:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying fe80:::e9ae 636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect: 
connect success
TLS trace: SSL_connect:before SSL initialization
TLS trace: SSL_connect:SSLv3/TLS write client hello
TLS trace: SSL_connect:SSLv3/TLS write client hello
TLS trace: SSL_connect:SSLv3/TLS read server hello
TLS trace: SSL_connect:TLSv1.3 read encrypted extensions
TLS trace: SSL_connect:SSLv3/TLS read server certificate request
TLS certificate verification: depth: 0, err: 18, subject: /C=RU/ST=City123 st./L=City123/O=site1/OU=IT/CN=DC1.site1.ru/emailAddress=admin@site1.ru, issuer: /C=RU/ST=City123 st./L=City123/O=site1/OU=IT/CN=DC1.site1.ru/emailAddress=admin@site1.ru
TLS certificate verification: Error, self signed certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS: can't connect: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate).
ldap_msgfree
ldap_err2string
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
        additional info: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)




[root@dc1 ~]# ldapsearch -h site1.ru -W -x -D "Administrator@site1.ru" -Z -b dc=site1,dc=ru "(cn=Administrator)" dn sAMAccountName
ldap_start_tls: Connect error (-11)
        additional info: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (self signed certificate)
Enter LDAP Password: 
ldap_result: Can't contact LDAP server (-1)
[root@dc1 ~]#

Вопрос задан 14 мая
94 просмотра

5 комментариев

Подписаться 1 Простой 5 комментариев

Роман Безруков @NortheR73

SSL3 alert write:fatal:unknown CA
корневой сертификат добавлен везде где нужно (в хранилище доверенных корневых сертификатов и т.д)?

Написано 14 мая

KaLans @KaLans Автор вопроса

Роман Безруков, скопировал rootCA.crt в /etc/pki/ca-trust/source/anchors/
Перезапустил сервер. Теперь выдает такой ответ:

spoiler

[root@dc1 ~]# ldapsearch -d 1 -H ldaps://dc1.site1.ru:636
ldap_url_parse_ext(ldaps://dc1.site1.ru:636)
ldap_create
ldap_url_parse_ext(ldaps://dc1.site1.ru:636/??base)
ldap_pvt_sasl_getmech
ldap_search
put_filter: "(objectclass=*)"
put_filter: simple
put_simple_filter: "objectclass=*"
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP dc1.site1.ru:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying fe80e9ae 636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect: 
connect errno: 111
ldap_close_socket: 3
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 10.10.0.50:636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect: 
connect errno: 111
ldap_close_socket: 3
ldap_msgfree
ldap_err2string
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)

Это он успешно подключился?

Написано 14 мая

Роман Безруков @NortheR73

KaLans, последняя строчка говорит, что не подключен

Написано 14 мая

KaLans @KaLans Автор вопроса

Донастраивал до такой ошибки. В какую сторону дальше копать?

spoiler

[root@dc1 ~]# kinit administrator@site1.RU
Password for administrator@site1.RU: 

[root@dc1 ~]# ldapsearch -d 1 -H ldaps://dc1.site1.ru:636
ldap_url_parse_ext(ldaps://dc1.site1.ru:636)
ldap_create
ldap_url_parse_ext(ldaps://dc1.site1.ru:636/??base)
ldap_pvt_sasl_getmech
ldap_search
put_filter: "(objectclass=*)"
put_filter: simple
put_simple_filter: "objectclass=*"
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP dc1.site1.ru:636
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying fe8e 636
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect: 
connect success
TLS trace: SSL_connect:before SSL initialization
TLS trace: SSL_connect:SSLv3/TLS write client hello
TLS trace: SSL_connect:SSLv3/TLS write client hello
TLS trace: SSL_connect:SSLv3/TLS read server hello
TLS trace: SSL_connect:TLSv1.3 read encrypted extensions
TLS trace: SSL_connect:SSLv3/TLS read server certificate request
TLS certificate verification: depth: 1, err: 0, subject: /C=RU/ST=City/L=City obl./O=site1/OU=IT/CN=DC1.site1.RU/emailAddress=admin@site1.ru, issuer: /C=RU/ST=City/L=City obl./O=site1/OU=IT/CN=DC1.site1.RU/emailAddress=admin@site1.ru
TLS certificate verification: depth: 0, err: 0, subject: /C=RU/ST=City/L=City obl./O=kgu/OU=oktit/CN=DC1.site1.RU/emailAddress=admin@site1.ru, issuer: /C=RU/ST=City/L=City obl./O=site1/OU=IT/CN=DC1.site1.RU/emailAddress=admin@site1.ru
TLS trace: SSL_connect:SSLv3/TLS read server certificate
TLS trace: SSL_connect:TLSv1.3 read server certificate verify
TLS trace: SSL_connect:SSLv3/TLS read finished
TLS trace: SSL_connect:SSLv3/TLS write change cipher spec
TLS trace: SSL_connect:SSLv3/TLS write client certificate
TLS trace: SSL_connect:SSLv3/TLS write finished
ldap_open_defconn: successful
ldap_send_server_request
ber_scanf fmt ({it) ber:
ber_scanf fmt ({) ber:
ber_flush2: 64 bytes to sd 3
ldap_result ld 0x5576f4ad1360 msgid 1
wait4msg ld 0x5576f4ad1360 msgid 1 (infinite timeout)
wait4msg continue ld 0x5576f4ad1360 msgid 1 all 1
** ld 0x5576f4ad1360 Connections:
* host: dc1.site1.ru  port: 636  (default)
  refcnt: 2  status: Connected
  last used: Wed May 15 07:55:05 2024


** ld 0x5576f4ad1360 Outstanding Requests:
 * msgid 1,  origid 1, status InProgress
   outstanding referrals 0, parent count 0
  ld 0x5576f4ad1360 request count 1 (abandoned 0)
** ld 0x5576f4ad1360 Response Queue:
   Empty
  ld 0x5576f4ad1360 response count 0
ldap_chkResponseList ld 0x5576f4ad1360 msgid 1 all 1
ldap_chkResponseList returns ld 0x5576f4ad1360 NULL
ldap_int_select
read1msg: ld 0x5576f4ad1360 msgid 1 all 1
ber_get_next
ber_get_next: tag 0x30 len 64 contents:
read1msg: ld 0x5576f4ad1360 msgid 1 message type search-entry
ber_get_next
ber_get_next: tag 0x30 len 12 contents:
read1msg: ld 0x5576f4ad1360 msgid 1 message type search-result
ber_scanf fmt ({eAA) ber:
read1msg: ld 0x5576f4ad1360 0 new referrals
read1msg:  mark request completed, ld 0x5576f4ad1360 msgid 1
request done: ld 0x5576f4ad1360 msgid 1
res_errno: 0, res_error: <>, res_matched: <>
ldap_free_request (origid 1, msgid 1)
adding response ld 0x5576f4ad1360 msgid 1 type 101:
ldap_parse_result
ber_scanf fmt ({iAA) ber:
ber_scanf fmt (}) ber:
ldap_get_values
ber_scanf fmt ({x{{a) ber:
ber_scanf fmt ([v]) ber:
ldap_msgfree
ldap_sasl_interactive_bind: server supports: GSS-SPNEGO GSSAPI NTLM
ldap_int_sasl_bind: GSS-SPNEGO GSSAPI NTLM
ldap_int_sasl_open: host=dc1.site1.ru
SASL/GSSAPI authentication started
ldap_sasl_bind
ldap_send_initial_request
ldap_send_server_request
ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 1584 bytes to sd 3
ldap_msgfree
ldap_result ld 0x5576f4ad1360 msgid 2
wait4msg ld 0x5576f4ad1360 msgid 2 (infinite timeout)
wait4msg continue ld 0x5576f4ad1360 msgid 2 all 1
** ld 0x5576f4ad1360 Connections:
* host: dc1.site1.ru  port: 636  (default)
  refcnt: 2  status: Connected
  last used: Wed May 15 07:55:05 2024


** ld 0x5576f4ad1360 Outstanding Requests:
 * msgid 2,  origid 2, status InProgress
   outstanding referrals 0, parent count 0
  ld 0x5576f4ad1360 request count 1 (abandoned 0)
** ld 0x5576f4ad1360 Response Queue:
   Empty
  ld 0x5576f4ad1360 response count 0
ldap_chkResponseList ld 0x5576f4ad1360 msgid 2 all 1
ldap_chkResponseList returns ld 0x5576f4ad1360 NULL
ldap_int_select
read1msg: ld 0x5576f4ad1360 msgid 2 all 1
ber_get_next
ber_get_next: tag 0x30 len 172 contents:
read1msg: ld 0x5576f4ad1360 msgid 2 message type bind
ber_scanf fmt ({eAA) ber:
read1msg: ld 0x5576f4ad1360 0 new referrals
read1msg:  mark request completed, ld 0x5576f4ad1360 msgid 2
request done: ld 0x5576f4ad1360 msgid 2
res_errno: 14, res_error: <>, res_matched: <>
ldap_free_request (origid 2, msgid 2)
ldap_int_sasl_bind: <null>
ldap_parse_sasl_bind_result
ber_scanf fmt ({eAA) ber:
ber_scanf fmt (O) ber:
ldap_parse_result
ber_scanf fmt ({iAA) ber:
ber_scanf fmt (x) ber:
ber_scanf fmt (}) ber:
sasl_client_step: 1
ldap_sasl_bind
ldap_send_initial_request
ldap_send_server_request
ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 22 bytes to sd 3
ldap_msgfree
ldap_result ld 0x5576f4ad1360 msgid 3
wait4msg ld 0x5576f4ad1360 msgid 3 (infinite timeout)
wait4msg continue ld 0x5576f4ad1360 msgid 3 all 1
** ld 0x5576f4ad1360 Connections:
* host: dc1.site1.ru  port: 636  (default)
  refcnt: 2  status: Connected
  last used: Wed May 15 07:55:05 2024


** ld 0x5576f4ad1360 Outstanding Requests:
 * msgid 3,  origid 3, status InProgress
   outstanding referrals 0, parent count 0
  ld 0x5576f4ad1360 request count 1 (abandoned 0)
** ld 0x5576f4ad1360 Response Queue:
   Empty
  ld 0x5576f4ad1360 response count 0
ldap_chkResponseList ld 0x5576f4ad1360 msgid 3 all 1
ldap_chkResponseList returns ld 0x5576f4ad1360 NULL
ldap_int_select
read1msg: ld 0x5576f4ad1360 msgid 3 all 1
ber_get_next
ber_get_next: tag 0x30 len 46 contents:
read1msg: ld 0x5576f4ad1360 msgid 3 message type bind
ber_scanf fmt ({eAA) ber:
read1msg: ld 0x5576f4ad1360 0 new referrals
read1msg:  mark request completed, ld 0x5576f4ad1360 msgid 3
request done: ld 0x5576f4ad1360 msgid 3
res_errno: 14, res_error: <>, res_matched: <>
ldap_free_request (origid 3, msgid 3)
ldap_int_sasl_bind: <null>
ldap_parse_sasl_bind_result
ber_scanf fmt ({eAA) ber:
ber_scanf fmt (O) ber:
ldap_parse_result
ber_scanf fmt ({iAA) ber:
ber_scanf fmt (x) ber:
ber_scanf fmt (}) ber:
sasl_client_step: 0
ldap_sasl_bind
ldap_send_initial_request
ldap_send_server_request
ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 56 bytes to sd 3
ldap_msgfree
ldap_result ld 0x5576f4ad1360 msgid 4
wait4msg ld 0x5576f4ad1360 msgid 4 (infinite timeout)
wait4msg continue ld 0x5576f4ad1360 msgid 4 all 1
** ld 0x5576f4ad1360 Connections:
* host: dc1.site1.ru  port: 636  (default)
  refcnt: 2  status: Connected
  last used: Wed May 15 07:55:05 2024


** ld 0x5576f4ad1360 Outstanding Requests:
 * msgid 4,  origid 4, status InProgress
   outstanding referrals 0, parent count 0
  ld 0x5576f4ad1360 request count 1 (abandoned 0)
** ld 0x5576f4ad1360 Response Queue:
   Empty
  ld 0x5576f4ad1360 response count 0
ldap_chkResponseList ld 0x5576f4ad1360 msgid 4 all 1
ldap_chkResponseList returns ld 0x5576f4ad1360 NULL
ldap_int_select
read1msg: ld 0x5576f4ad1360 msgid 4 all 1
ber_get_next
ber_get_next: tag 0x30 len 72 contents:
read1msg: ld 0x5576f4ad1360 msgid 4 message type bind
ber_scanf fmt ({eAA) ber:
read1msg: ld 0x5576f4ad1360 0 new referrals
read1msg:  mark request completed, ld 0x5576f4ad1360 msgid 4
request done: ld 0x5576f4ad1360 msgid 4
res_errno: 53, res_error: <SASL:[GSSAPI]: Sign or Seal are not allowed if TLS is used>, res_matched: <>
ldap_free_request (origid 4, msgid 4)
ldap_int_sasl_bind: <null>
ldap_parse_sasl_bind_result
ber_scanf fmt ({eAA) ber:
ber_scanf fmt (O) ber:
ldap_parse_result
ber_scanf fmt ({iAA) ber:
ber_scanf fmt (x) ber:
ber_scanf fmt (}) ber:
ldap_int_sasl_bind: rc=53 len=0
ldap_msgfree
ldap_err2string
ldap_sasl_interactive_bind_s: Server is unwilling to perform (53)
        additional info: SASL:[GSSAPI]: Sign or Seal are not allowed if TLS is used
ldap_free_connection 1 1
ldap_send_unbind
ber_flush2: 7 bytes to sd 3
TLS trace: SSL3 alert write:warning:close notify
ldap_free_connection: actually freed
[root@dc1 ~]#

Установил корневой сертификат на Windows 10. Пробую подключиться через NetTools, Выдает такое сообщение:

spoiler

Verifying the Certificate Chain
Building certificate chain
 Certificate chain count: 1
 Certificate Chain 0
  Element Count: 2
  Display Certificate
  CertContext [0][0]
  Subject Name: DC1.site1.RU
  SAN: DC1.site1.RU
  Not Before: 15.05.2024 2:44:25
  Not Before: 22.01.2038 2:44:25
  Cert Expires in 4999 days
   Certificate has Errors: 0x40
ERR: 0x40 - The revocation status of the certificate or one of the certificates in the certificate chain is unknown
   Certificate Status: 0x104
     0x4 - A name match issuer certificate has been found for this certificate
     0x100 - The certificate or chain has a preferred issuer.
  ERR: Revocation check: Failed, Error: 0x80092012
   No function available to perform revocation check
  CertContext [0][1]
  Subject Name: DC1.site1.RU
  SAN: DC1.site1.RU
  Not Before: 15.05.2024 2:42:33
  Not Before: 01.10.2051 2:42:33
  Cert Expires in 9999 days
   Certificate Status: 0x10A
     0x2 - A key match issuer certificate has been found for this certificate
     0x8 - This certificate is self-signed
     0x100 - The certificate or chain has a preferred issuer.
  Self-signed certificate
ERR: Certificate verification would have failed for this connection
Error: ldap_sslinit failed with error: Error: (0x51) Cannot contact the LDAP server

Написано 15 мая

Роман Безруков @NortheR73

KaLans, я вижу ошибку проверки списка отзыва сертификатов...
Официальную доку читали вообще? Там есть про сертификаты...

Написано 15 мая

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Windows Server

+2 ещё

Средний
Почему групповая политика применяется ко всем, а не к группе безопасности?
- 1 подписчик
- 24 июл.
- 65 просмотров
1

ответ
Windows Server

+1 ещё

Средний
Причины сбоя проверки реплики при добавление контроллера win server 2012r2 на win server 2022?
- 1 подписчик
- 16 июл.
- 43 просмотра
1

ответ
Active Directory

Простой
Как исправить проблему с подключением клиентов к DirectAccess?
- 1 подписчик
- 09 июл.
- 75 просмотров
2

ответа
Active Directory

Простой
В Active Directory для ввода Linux машин необходимо что — то настраивать?
- 1 подписчик
- 03 июл.
- 109 просмотров
1

ответ
Цифровые сертификаты

+2 ещё

Средний
Как решить проблему с сертификатами веб-сервера в домене?
- 1 подписчик
- 03 июл.
- 155 просмотров
3

ответа
Active Directory

Простой
Некоторые пользователи не наследуют делегированные права на OU в Active Directory?
- 1 подписчик
- 02 июл.
- 57 просмотров
1

ответ
Windows Server

+2 ещё

Простой
Как автономно поменять сертификат служб ADFS?
- 2 подписчика
- 26 июн.
- 93 просмотра
2

ответа
Active Directory

Средний
Как победить плагин Госуслуг?
- 1 подписчик
- 25 июн.
- 282 просмотра
1

ответ
Linux

+3 ещё

Простой
Чем делать резервное копирование?
- 6 подписчиков
- 22 июн.
- 1030 просмотров
7

ответов
Active Directory

+1 ещё

Средний
Почему не получается восстановить доверительные отношения между доменом и клиентской машиной стандартными способами?
- 3 подписчика
- 21 июн.
- 323 просмотра
1

ответ
Показать ещё Загружается…

Старший специалист по тестированию и безопасности ИТ-систем

Ваша Кадровая Служба • Москва

До 200 000 ₽

Инженер технической поддержки

SM Lab • Москва

До 78 000 ₽

Системный администратор AD

Мечел-ИнфоТех • Москва

от 140 000 ₽

Верстка дизайна

26 июл. 2024, в 23:29

15000 руб./за проект

Заставить работать приложение на react+php (найти активацию)

26 июл. 2024, в 22:36

5000 руб./за проект

Сделать логотип в векторе

26 июл. 2024, в 22:02

2000 руб./за проект

SSL3 alert write:fatal:unknown CA
корневой сертификат добавлен везде где нужно (в хранилище доверенных корневых сертификатов и т.д)?
Роман Безруков, скопировал rootCA.crt в /etc/pki/ca-trust/source/anchors/
Перезапустил сервер. Теперь выдает такой ответ:

spoiler

[root@dc1 ~]# ldapsearch -d 1 -H ldaps://dc1.site1.ru:636 ldap_url_parse_ext(ldaps://dc1.site1.ru:636) ldap_create ldap_url_parse_ext(ldaps://dc1.site1.ru:636/??base) ldap_pvt_sasl_getmech ldap_search put_filter: "(objectclass=*)" put_filter: simple put_simple_filter: "objectclass=*" ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP dc1.site1.ru:636 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying fe80e9ae 636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 attempting to connect: connect errno: 111 ldap_close_socket: 3 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 10.10.0.50:636 ldap_pvt_connect: fd: 3 tm: -1 async: 0 attempting to connect: connect errno: 111 ldap_close_socket: 3 ldap_msgfree ldap_err2string ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)

Это он успешно подключился?
KaLans, последняя строчка говорит, что не подключен
KaLans, я вижу ошибку проверки списка отзыва сертификатов...
Официальную доку читали вообще? Там есть про сертификаты...

Как создать правильно сертификат LDAPS SAMBA DC?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт