刚刚花了很多时间用centos 6.7和openldap。 它configuration了简单的证书和root-ca在nice pem文件中,但在从centos 6.4升级之后,使用SSL连接到slapd失败。
最后我看到这个:moznss错误-12268,并在这里阅读: http ://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html和思考,事实上,我可以find一个禁用sslv3的configuration指令,所以显然不知何故,因为“它”用完密码或什么的。 我得仔细研究一下。 也许有人有推荐的TLSCipherSuite指令或可以确认centos的默认值是好的。
无论如何…它仍然说这个警告,如上所述,在标题:TLS:没有解锁证书的证书“
有人可以解释吗? 我GOOGLE了它,无法find上下文或定义。 它说TLS,但它是从Mozilla的NSS证书数据库?
slapd说,当我通过端口636上的openssl s_client连接到它:
slapd -d stats -h 'ldap:/// ldapi:/// ldaps:/// ' -u ldap [...] TLS: certificate 'mycertificate' successfully loaded from moznss database. TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'. 560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256 (我在那里编辑了名字,OU = XXX是“mycertificate”的主题)
我有一个工作ssl连接,但我只是想知道什么是在这种情况下解锁的证书,也是为什么这样说。
任何指针不胜感激。
我在源代码openldap-2.4.39 / libraries / libldap / tls_m.c中发现了这条消息。评论说:“喜欢解锁的密钥,然后从打开的certdb密钥,然后任何其他”
我的猜测是,例行程序能够解锁一个键并caching答案。 这似乎是一个警告信息,但不是一个错误。