Первое, что вы можете сделать, это проверить, правильно ли ваш сервер представляет свои сертификаты. Вы можете сделать это, попытавшись подключиться к вашему серверу с помощью OpenSSL. На клиентской машине с доступом запустите:
openssl s_client –connect target_server_fqdn:636
Это должно вернуть хорошую распечатку сертификата сервера. Ключевым моментом здесь является проверка напечатанного в конце «Проверить код возврата». Вы можете получить разные коды, но, вообще говоря, вы должны получить 0 для действительного сертификата и, возможно, 19, если вы подписываете себя самостоятельно.
Если это не удается, вернитесь и убедитесь, что вы импортировали сертификаты на стороне сервера
Если вы прошли этот тест, переходите к тестированию ваших TLS-соединений на стороне клиента.
На клиентском компьютере запустите
ldapsearch -z -ZZ '(uid=<testusername>)'
Это заставит поиск LDAP через зашифрованное соединение. Если это успешно,
[23 / сен / 2011: 07: 48: 57 -0500] conn = 1631 op = 0 EXT oid = "XXXXXX.X.XX" name = "startTLS" [23 / сен / 2011: 07: 48: 57 -0500] conn = 1631 op = 0 RESULT err = 0 tag = 120 nentries = 0 etime = 0 самоподписанный сертификат CA:
certutil -S -n "<CA Certificate Name Here>" -s "cn=<CN Name Here>, dc=<Your DC's FQDN>" -2 -x -t "CT,," -m 1000 -v 120 -d . -k rsa
2.) Создайте сертификат сервера для сервера каталогов
certutil -S -n "Cert-Name" -s "cn=<Server FQDN>" -c "<Name of CA Certificate>" -t "u,u,u" -m 1001 -v 120 -d . -k rsa
3.) Импортируйте оба этих сертификата на сервер каталогов в разделе «Управление сертификатами», выбранном в разделе «Задачи»
4.) Включите шифрование TLS
5.) Создайте экспортируемый сертификат для клиентов и выведите его в файл .pem
certutil -d . -L -n "<CA Certificate Name>" -a > cacert.pem
6.) По вашему выбору - загрузите сертификат клиента на каждого клиента.
7.) Перефразируйте сертификаты с помощью ранее упомянутой команды
cacertdir_rehash <dir where certs are stored>
Мне не повезло с настройкой SSL для каталога 389 или серверов администратора следуя инструкциям, которые я нашел (я полагал, это потому, что я использовал Centos 6, и большинство из них были нацелены именно на Redhat).
В конечном итоге у меня сработало инициирование запросов сертификатов с консоли 389 (admin | dir) серверные интерфейсы, подпишите эти требования с помощью установки tinyCA (просто интерфейс для openssl, я ленив), экспортируйте подписанные сертификаты PEM и сертификаты CA и импортируйте их обратно с помощью консоли 389.
Консоль 389 -> Группа серверов -> (администратор / каталог) сервер ->
Could you use below link to setup RHDS/389-ds on SSL.
http://lists.fedoraproject.org/pipermail/389-users/2012-March/014200.html
Hope that helps.