Re: LDAPS kerdes

Wed, 15 Oct 2008 06:17:52 -0700 

Hegedüs Ervin wrote:

>> A cn a host neve, amit a revdns visszaad, kulonben fail. Ennek semmi 
>> koze az ldap cn-hez.
> 
> ezt viszont nem ertem: a fenti altalad irt "cn" hol jelenik meg?

Pl a logban, amit az az ldapsearch produkal, amit irtam.

> 
> Probaltam igy is:
> 
> ldapsearch -H ldaps://ldapserver/ -w -X -d17
> 
> illetve FQDN-el, attol fuggoen kaptam vissza a hibauzenetet:
> 
> TLS: hostname (ldapserver) does not match common name in certificate 
> (1.2.3.4).
> 
> a DNS mindket iranyban rendben van.
> 

Mondom, hogy nincs koze az ldaphoz. Ott van a pem file Subject soraban. 
Rovid kivonat az elobb ajanlgatott howtobol:

2.5. Certificate management
2.5.1. Generate and Sign a certificate request

CA.pl -newreq
(openssl req -config /etc/openssl.cnf -new -keyout newreq.pem -out 
newreq.pem \
-days 365)

creates a new private key and a certificate request and place it as 
newreq.pem. Enter a Common Name (CN) the main usage of the certificate 
for instance www.sopac.org if you want to secure the website 
www.sopac.org, or enter [EMAIL PROTECTED] if you want to use to secure 
the e-mails of [EMAIL PROTECTED]


>  
>>> Nem tudom a Netware kepes-e TLS-re. Megprobalom kizarni a
>>> felesleges szivast.
>> ldapsearch -x -d-1 -Z base=*
> 
> ez mukodik, bar itt is van egy ilyen:
> 
Ennek szinte mindig le kell futnia.

> TLS: hostname (1.2.3.4) does not match common name in certificate (1.2.3.4).
> 
> 
> Gondolom ezek alapjan van TLS, de mi garantalja, hogy valoban a
> hiteles szervertol kerdezek? Tehat miert nem megy az SSL, es
> miert megy a TLS?

Ettol meg nem megy az tls, a -Z csak elkezdi a tls sessiont, viszont a 
rengeteg logban latod a certificate validacio reszleteit is. A sikeres 
tls-t -ZZ-vel lehet kikenyszeriteni.

> 
> Megforditva a kerdest: a .ldaprc-ben van egy cert path, de ezzel
> megy mas NDS szerver is, honnan tudjam, hogy mindegyiken ceges
> cert van?

tls_reqcert hard

-- 
Gabor HALASZ <[EMAIL PROTECTED]>

_________________________________________________
linux lista      -      [email protected]
http://mlf2.linux.rulez.org/mailman/listinfo/linux

válasz