Вопросы Теги

gnutls по сравнению с openssl с openldap, debian и песнями

Простое решение состоит в том, чтобы, вероятно, просто демонтировать массив и удалить его, затем создать RAID1 с нуля с двумя дисками, которые Вы хотите в нем.

1
задан 21 August 2012 в 06:06
1 ответ

Думаю, вы можете атаковать это одним из двух способов: заставить клиента ldapsearch работать с использованием ваших существующих сертификатов или сгенерировать новые сертификаты, которые ему нравятся. Лично мне кажется, что изменить сертификат сервера проще, чем изменить код ldapsearch , поэтому я и посмотрел на него.

Приведенная выше ошибка предполагает, что что-то отсутствует в сертификате на стороне сервера ( т.е. клиент не хочет разговаривать с вашим сервером, потому что он не идентифицируется должным образом).

Для начала я проверил сертификат, используемый случайным сервером LDAP, в данном случае directory.washington.edu . Если вы получите его сертификат, например: 

openssl s_client -connect directory.washington.edu:636 > dirwash.crt

, а затем выполните: 

openssl x509 -in dirwash.crt -text

, вы увидите: 

        X509v3 Key Usage: 
            Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
        X509v3 Extended Key Usage: 
            TLS Web Client Authentication, TLS Web Server Authentication

Другие серверы LDAP (например, ldap.virginia.edu ) don ' у меня вообще нет этих расширений. Другие, например ldap.itd.umich.edu , имеют вариант вышеупомянутого: 

        X509v3 Key Usage: 
            Digital Signature, Key Encipherment
        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication

Короче говоря, я предлагаю вам проверить сертификат вашего сервера - опубликуйте его здесь, если хотите - чтобы узнать, содержит ли он Расширения X509v3 (Extended) Key Usage и, если да, выглядят ли они как те, которые используются на других серверах LDAP.

Я видел почтовую ветку , в которой говорилось, что либо: ( 1) расширения должны отсутствовать; или (2) если расширения присутствуют, они должны содержать как минимум TLS Web Server Authentication . Я не знаю, правда ли это в данном случае, но все равно стоит подумать.

Я предлагаю вам проверить сертификат вашего сервера - опубликуйте его здесь, если хотите - чтобы узнать, содержит ли он X509v3 (Extended) Key Usage расширения и, если да, выглядят ли они как те, что используются на других серверах LDAP .

Я видел почтовую ветку , в которой говорилось, что либо: (1) расширения должны отсутствовать; или (2) если расширения присутствуют, они должны содержать как минимум TLS Web Server Authentication . Я не знаю, правда ли это в данном случае, но все равно стоит подумать.

Я предлагаю вам проверить сертификат вашего сервера - опубликуйте его здесь, если хотите - чтобы узнать, содержит ли он X509v3 (Extended) Key Usage расширения и, если да, выглядят ли они как те, что используются на других серверах LDAP .

Я видел почтовую ветку , в которой говорилось, что либо: (1) расширения должны отсутствовать; или (2) если расширения присутствуют, они должны содержать как минимум TLS Web Server Authentication . Я не знаю, правда ли это в данном случае, но все равно стоит подумать.

они должны содержать как минимум TLS-аутентификацию веб-сервера . Я не знаю, правда ли это в данном случае, но все равно стоит подумать.

они должны содержать как минимум TLS-аутентификацию веб-сервера . Я не знаю, правда ли это в данном случае, но все равно стоит подумать.

2
ответ дан 3 December 2019 в 21:44

Теги

Похожие вопросы