刚刚花了很多时间在 centos 6.7 和 openldap 上。它配置了简单的证书和一个在漂亮的小 pem 文件中的 root-ca,但是从 centos 6.4 升级后,使用 SSL 连接到 slapd 失败了。
最后我看到了这个:moznss 错误 -12268 并在此处阅读:http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html想了想,确实,我可以找到一个禁用 sslv3 的配置指令,显然由于某种原因“它”用完了密码或类似的东西。我得再研究一下。也许有人有一个推荐的 TLSCipherSuite 指令或可以确认 centos 默认值是好的。
无论如何...它仍然会显示此警告,如上所述,标题中:TLS:没有解锁的证书“”
有人能解释一下吗?我在 Google 上搜索过,但找不到上下文或定义。上面说的是 TLS,但它是来自 Mozilla nss 证书数据库吗?
当我通过端口 636 上的 openssl s_client 连接到 slapd 时,它显示以下内容:
slapd -d stats -h 'ldap:/// ldapi:/// ldaps:/// ' -u ldap
[...]
TLS: certificate 'mycertificate' successfully loaded from moznss database.
TLS: no unlocked certificate for certificate 'OU=XXXX,O=YYY,C=ZZZ,ST=Wien,CN=somedomainname'.
560d66c7 conn=1001 fd=31 TLS established tls_ssf=256 ssf=256
(我编辑了上面的名称,OU=XXX 的内容是“mycertificate”的主题)
我有一个有效的 SSL 连接,但我只想知道在这种情况下解锁的证书是什么,以及为什么会这么说。
非常感谢任何指点。
答案1
我在源代码 openldap-2.4.39/libraries/libldap/tls_m.c 中发现了这条消息,注释说“优先选择解锁的密钥,然后是打开的 certdb 中的密钥,然后是其他任何密钥”
我猜想该例程能够解锁密钥并缓存答案。不过,这似乎是一条警告消息,而不是错误。