Задать вопрос

Не работает репликация openldap tls. В чем причина?

Добрый день! Имеются два сервера на centos 7. На них крутится openldap. Настраивал от сюда. Имена серверов Main и reserv. Между ними настроена репликация, настраивал от сюда. На Main сервере настроен tls пока что саморучно, настраивал от сюда позже купим нормальный сертификат.
Встала задача сделать репликацию по tls. В этом проблема.
Что было сделано:
В конфиге reserv сервера прописывал
starttls=yes
   tls_cert=/etc/openldap/certs/ldap.crt
   tls_key=/etc/openldap/certs/ldap.key
   tls_cacert=/etc/openldap/certs/ca-bundle.crt
   tls_reqcert=demand

назначал владельца сертификатам ldap.
указывал работать по протоколу
ldaps://host:636 и ldaps://host:389
Не работает, ни каким образом.
Пытался в ручную импортировать сертификаты в ОС - выдавало ошибку.
Заметил что где то люди используют сертификаты .pem а где то .crt.
.pem сертификаты еще не использовал.
Ткните носом в правильный конфиг.
Заранее всем спасибо!
  • Вопрос задан
  • 455 просмотров
Подписаться 3 Оценить 2 комментария
Решения вопроса 1
3vi1_0n3
@3vi1_0n3
Вообще надо как-то более подробно смотреть. Но самое первое, что я бы проверил, есть ли корневой сертификат, которым подписан сертификат сервера, в файле из настройки tls_cacert.
> Пытался в ручную импортировать сертификаты в ОС - выдавало ошибку
Непонятно, как вы и в какую ОС импортировали и какие сертификаты. Чтобы в системе стал доступен корневой сертификат, которым подписан сертификат сервера, надо корневой сертификат положить в /etc/pki/tls/certs и сделать хэш-линк таким образом:
sudo ln -s ваш-корневой-сертификат.crt `openssl x509 -noout -hash -in ваш-корневой-сертификат.crt`

И проверить потом серверный сертификат при помощи
openssl verify ваш-сертификат-сервера.crt
P.S.: И настройки фаервола проверьте
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы