在我的 RedHat 8.4 服务器中,加入 AD 后,当我启动 sssd 进程时,会给出以下错误消息。
sssd[be[XXX.XXX.XXX]][23324]: Could not start TLS encryption. error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (EE certificate key too weak)
这是 sssd 配置文件:
domains = XXX.XXX.XXX
config_file_version = 2
services = nss, pam
[domain/XXX.XXX.XXX]
ad_enable_gc = False
ad_use_ldaps = True
dns_resolver_timeout = 15 .
ldap_network_timeout = 15
ad_domain = XXX.XXX.XXX
dyndns_update = false
krb5_realm = XXX.XXX.XXX
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = simple
debug_level = 2
[nss]
#debug_level = 9
[pam]
#debug_level = 9
如何清除这个错误信息?
谢谢
答案1
您的系统默认或通过策略配置为需要一定级别的 TLS 安全性。通常该安全级别是 112 位或 128 位。此消息意味着远程服务器的证书太弱,密钥应该更大(112 位安全级别为 2048 位,128 位安全级别为 3072 位)。
如果您使用代理或某种类型的 TLS 中间盒,也可能会出现此消息,因为其密钥也可能太小。
一般来说,您应该通过确保要连接的服务器使用 256 位或更大的 ECDSA 或 3072 位或更大的 RSA 密钥来解决此问题。它们都提供 128 位安全级别,这是当今可接受的最低安全级别。
如果您的问题是 TLS 中间盒,您应该将其从网络中删除。它们经常存在导致安全漏洞的错误,并且会破坏各种软件。
仅当您无法避免时才应更改安全设置,这已在此 ServerFault 答案中进行了解释。