Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian Petit problème de validation certificat avec OpenLDAP / OpenSSL.

Petit problème de validation certificat avec OpenLDAP / OpenSSL.

2 réponses
Avatar
Farget Vincent
This is a cryptographically signed message in MIME format.

--------------ms040209050806000705060006
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 8bit

Bonjour à tous,

Je suis en train de mettre en place, sur un serveur de test Debain Sarge
un service d'annuaire 'OpenLDAP' sécurisé.

Celui-ci marche bien en 'ldap' mais pas en 'ldaps'.
J'ai un petit problème de vérification de certificat.


Voici la procédure que j'ai suivi :

SUR MON ORDI SERVEUR (IP:aaa.bbb.ccc.ddd) :
-------------------------------------------


Installation du service OpenLDAP (+utilitaire, +couche sécurité) :
#apt-get install slapd libsasl2-modules ldap-utils db4.2-util
#apt-get install openssl ca-certificates


Arrêt de 'ldap' :
-> /etc/init.d/slap stop


Génération du mot de passe 'rootpw' :
-> slappasswd
New .........
Retype .........
{SHA}.....................


Modifications dans mon fichier '/etc/ldap/slapd.conf' :
ajout de :
-> rootdn "cn=admin,dc=TestNSS"
-> rootpw {SSHA}..................


Modification dans '/etc/default/slapd' :
-> SLAPD_SERVICES="ldap:/// ldaps:///"


Génération des certificats auto signés :
comme il est indiqué dans le fichier 'CA.pl' :
# ...
# CA -newca ... will setup the right stuff
# CA -newreq[-nodes] ... will generate a certificate request
# CA -sign ... will sign the generated request and output
# ...

-> cd /etc/ldap/
-> /usr/lib/ssl/misc/CA.pl -newca
-> /usr/lib/ssl/misc/CA.pl -newreq
-> /usr/lib/ssl/misc/CA.pl -sign
-> cp demoCA/cacert.pem .
-> cp newcert.pem server.crt
-> cp newreq.pem server.crypt-key
-> openssl rsa -in server.crypt-key -out server.key

J'ai à la fin :
-> ls -als /etc/ldap/

1.) 'server.crt' (certificat de mon serveur)
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

2.) 'server.key' (clé sans MdP)
-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----

3.) 'cacert.pem' (??? certificat de la CA ? pour la vérif ?)
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----


Modifications dans '/etc/ldap/slapd.conf' :
...
-> TLSCipherSuite HIGH:MEDIUM:+SSLv2
-> TLSCertificateFile /etc/ldap/server.crt
-> TLSCertificateKeyFile /etc/ldap/server.key
-> TLSCACertificateFile /etc/ldap/cacert.pem
-> #TLSVerifyClient 0
-> TLSVerifyClient allow
...


Redémarrage de 'ldap' :
-> /etc/init.d/slap start



J'ai testé SUR MON ORDI CLIENT :
--------------------------------

-> ldapsearch -b "dc=TestNSS" -LLL -H "ldap://aaa.bbb.ccc.ddd/" -x
"(cn=admin)"
CA MARCHE (SANS MDP)

-> ldapsearch -b "dc=TestNSS" -LLL -H "ldap://aaa.bbb.ccc.ddd/" -D
"cn=admin,dc=TestNSS" -W -x "(cn=admin)"
CA MARCHE AUSSI (AVEC MDP DE admin)


Mais :

-> ldapsearch -b "dc=TestNSS" -LLL -H "ldaps://aaa.bbb.ccc.ddd/" -x
"(cn=admin)"
ERREUR :
ldap_bind: Can't contact LDAP server (-1)
additional info: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed


et aussi :

-> openssl s_client -connect aaa.bbb.ccc.ddd:636 -showcerts -state
...
...
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID:
1D2FDD0C620A67C44DAD128FD35FE3D3CC9F554B9716C73C08CE97FF38F9822B
Session-ID-ctx:
Master-Key:
0C7D078193BB18BE43EB851BE83EE27C8BCE623AAA025E8BF9A8D8CA4E6AC80727ECFF596B257EFD43263F9AC6CF7B9F
Key-Arg : None
Start Time: 1128671693
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---



L'erreur est assez clair :-)
Je ne comprends pas pourquoi la vérification du certificat échoue...


Est-ce que ma méthode de génération d'un certificat auto signé est bonne ?
Doit-on mettre quelque chose (clé publique ? certificat ?) sur mon
ordinateur client ?



Merci d'avance pour votre aide.
Vincent.
--
-
Mr FARGET Vincent
Administrateur Systèmes
UMR 5020 - Laboratoire des Neurosciences et Systemes Sensoriels
Universite Claude Bernard LYON 1 - CNRS
50, avenue Tony Garnier
69366 LYON Cedex 07
## Ce message est signé par un certificat CNRS ##
http://igc.services.cnrs.fr/Doc/General/trust.html
http://www.urec.cnrs.fr/igc/Certifs_CNRS.html
#####
# Pour que la signature soit valide, vous devrez
# récupérer préalablement le certificat de
# l'autorité de certification CNRS-Plus en
# cliquant sur le lien ci dessous :
http://igc.services.cnrs.fr/cgi-bin/viewca?cmd=load&CA=CNRS-Plus&ca=CNRS-Plus

--------------ms040209050806000705060006
Content-Type: application/x-pkcs7-signature; name="smime.p7s"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
Content-Description: S/MIME Cryptographic Signature

MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAQAAoIIIFzCC
A2kwggJRoAMCAQICAQEwDQYJKoZIhvcNAQEEBQAwKzELMAkGA1UEBhMCRlIxDTALBgNVBAoT
BENOUlMxDTALBgNVBAMTBENOUlMwHhcNMDEwNDI3MDU0NTI4WhcNMTEwNDI1MDU0NTI4WjAw
MQswCQYDVQQGEwJGUjENMAsGA1UEChMEQ05SUzESMBAGA1UEAxMJQ05SUy1QbHVzMIIBIjAN
BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyQlSTUNpNZM31NKiH++/aLeFo2lCbD/EdAsq
k8Vzl0yoN+BS3qY5EbkZbUwU3x/o0XsfvqsfOqTz4MxEavsJmlRetHAfYUPmXCiwwnxCmFS/
+N2NmN2bnWIY0Vzk6qZkgTdYZqj1eiXNyn1q1E/IpPEp7hA+KdulYJ706Xj99ih8kVFa/a8y
45ub5FOWpK4DJPBoNxS7LPsZyGtfehmcCRtj2JF7BcxJMTH6GPwZ1j/Y4DdBcxmzIfLOjQly
ROrlDF5iiscuxzZOPOKUcbnjU5fgFxTE8YQ9jyqL5X6xeWaNABwPR6O+Kln/eDowWrJXnjke
VBbfBKm6xYvLyzlQUQIDAQABo4GSMIGPMAwGA1UdEwQFMAMBAf8wHQYDVR0OBBYEFFd9dKaS
m4hc/uQEKfTsOmcnVOD4MFMGA1UdIwRMMEqAFFbraLnSXH6YtaVTw5FvY1jE+Wu3oS+kLTAr
MQswCQYDVQQGEwJGUjENMAsGA1UEChMEQ05SUzENMAsGA1UEAxMEQ05SU4IBADALBgNVHQ8E
BAMCAQYwDQYJKoZIhvcNAQEEBQADggEBAEc8oDJIziXlPHqdm+CF/44HRs8MOif5Un3d8x7y
vgBqvLt2WV6xoI4h4Y+54Z7Aog3H65z/qtiZdxb3CehCzhltPGHZ/oNHZJa74xqUXJgXeKUk
V/JQw0a/z4VLRjnhU0mzbvghbOAJsA6QqsKWC2ZiWhHZaLScVt3zrJ9F8mWX3DAf4HRN+0iY
U438vLKSBM6KJhb7Mn1tXk36IcskrwAnozVizkwLendcMYpKuKyu7DofQXUouGwJF+YE6u3B
L72QvPko9jHauBqNWpRm2n1ETnjw2VXs7RKfy8q8no78VLT8+x7fPCBcZMx69Ytyouj+TThX
KVNQ4bxYoJEggZUwggSmMIIDjqADAgECAgIGdDANBgkqhkiG9w0BAQUFADAwMQswCQYDVQQG
EwJGUjENMAsGA1UEChMEQ05SUzESMBAGA1UEAxMJQ05SUy1QbHVzMB4XDTA1MDkxNDA3NDUx
NVoXDTA2MDkxNDA3NDUxNVowcjELMAkGA1UEBhMCRlIxDTALBgNVBAoTBENOUlMxEDAOBgNV
BAsTB1VNUjUwMjAxFzAVBgNVBAMTDlZpbmNlbnQgRmFyZ2V0MSkwJwYJKoZIhvcNAQkBFhpm
YXJnZXRAb2xmYWMudW5pdi1seW9uMS5mcjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoC
ggEBALCRIwRyFFsuprLbrK3S7fsesMgLIEGftOlI9RZiCSup1PCOslJq6gjmC0o8mN4PC02N
B5iDCnoq16ggo/7Qdk5TAD8F7k4G6ZoJvve3mcufyrpH0MBwB1BAdesPn+V9gF7njB70cokJ
9sP+zRH8zIWfXHsPyps5twSBUh52EtjttCkkXIPa+u989ze2tJCMmd0cHMSJfAaSMvwyyaaD
fNaJkuU2pAm8qkdDM0C4S8Y44ecFUBd8LtOpom/XryNxy/k0E1Ch6ohS2lK8Cr1jv3B/hUQS
eJyzt/W3bk+6kUrWGdg7eTOWRsVU4wewvZA2LDEtGEme3IgGOZEPDz9KIGsCAwEAAaOCAYYw
ggGCMAwGA1UdEwEB/wQCMAAwEQYJYIZIAYb4QgEBBAQDAgSwMA4GA1UdDwEB/wQEAwIF4DBw
BglghkgBhvhCAQ0EYxZhQ2VydGlmaWNhdCBDTlJTLVBsdXMuIFBvdXIgdG91dGUgaW5mb3Jt
YXRpb24gc2UgcmVwb3J0ZXIg4CBodHRwOi8vaWdjLnNlcnZpY2VzLmNucnMuZnIvQ05SUy1Q
bHVzLzAdBgNVHQ4EFgQU+vR7VMK28/8ZTNhS/bg5u0vZUk8wUwYDVR0jBEwwSoAUV310ppKb
iFz+5AQp9Ow6ZydU4PihL6QtMCsxCzAJBgNVBAYTAkZSMQ0wCwYDVQQKEwRDTlJTMQ0wCwYD
VQQDEwRDTlJTggEBMCUGA1UdEQQeMByBGmZhcmdldEBvbGZhYy51bml2LWx5b24xLmZyMEIG
A1UdHwQ7MDkwN6A1oDOGMWh0dHA6Ly9jcmxzLnNlcnZpY2VzLmNucnMuZnIvQ05SUy1QbHVz
L2dldGRlci5jcmwwDQYJKoZIhvcNAQEFBQADggEBAAQzy/9ZT3JDPLepBxzjnt4mnqBaOaM4
dPeoLFmZwpRB7d2Uni5Yxa2uFxM4z37CX1lia7vbLBBlFty3Im9N6+2mGs5ezRREohcCG9xi
oYssLFkpTP2CceB5ZDKwamHfaxJyU8hYdI5mr0HJfh8ImNaDzixhT2XGznwvsYuEalpfDApV
BOXr0irVvDH8VnxY39e7dWco1kM/8cfHpAm+RgzrXjCFUiSGcCLUYNmJcVKMf7TH01dXeMha
0PEdEuVbNx58V0RBvp1953EDqdHBuVkBgkmhV4xt+yaqoyNt0U1MQm+7SZoykd1M5Y7Nf5Wf
1vBYZ5Sd1+5mK9EmkWs1rvQxggIRMIICDQIBATA2MDAxCzAJBgNVBAYTAkZSMQ0wCwYDVQQK
EwRDTlJTMRIwEAYDVQQDEwlDTlJTLVBsdXMCAgZ0MAkGBSsOAwIaBQCggbEwGAYJKoZIhvcN
AQkDMQsGCSqGSIb3DQEHATAcBgkqhkiG9w0BCQUxDxcNMDUxMDA3MDkxNDEwWjAjBgkqhkiG
9w0BCQQxFgQUtfhd+zLFKZwFbJiifKh0/B2uWzYwUgYJKoZIhvcNAQkPMUUwQzAKBggqhkiG
9w0DBzAOBggqhkiG9w0DAgICAIAwDQYIKoZIhvcNAwICAUAwBwYFKw4DAgcwDQYIKoZIhvcN
AwICASgwDQYJKoZIhvcNAQEBBQAEggEArYkmOepImgFYxL4IuXVPXNoJwCgF2K5FnFt5D8ek
5j34q1pCSd7MKJaCebniyZEYMkAZhNGifEZTi6rLXft2RjZYJZRA+CHmKLBynN3PgU93p58N
11w2JUmvlUNp0twzuEa1Kam4z4RCSEzbM03AqdgUCc52CtY+JTkFEXvkktFu5ig3A2T6IEEp
2YVY7qsi8Kz0/pvaVXg+MmBqanxEvb2wJLAZxt6C/LOu7fxepkJeqi4Z2Dxovvp4v095Ce3A
UWPD7xVhOKRk+641IrbNmesATBV7W2IiHUrU7tJ1LRpdKkkKiIXeYYAcAsPIHylBe7rnwTS0
3AmLiXBkwcTjzwAAAAAAAA==
--------------ms040209050806000705060006--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Signaler un problème avec ce contenu

2 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Leopold BAILLY
Farget Vincent writes:

Bonjour à tous,

Je suis en train de mettre en place, sur un serveur de test Debain Sarge
un service d'annuaire 'OpenLDAP' sécurisé.

Celui-ci marche bien en 'ldap' mais pas en 'ldaps'.
J'ai un petit problème de vérification de certificat.



[...]

Modifications dans '/etc/ldap/slapd.conf' :
...
-> TLSCipherSuite HIGH:MEDIUM:+SSLv2


^^^^^
SSLv3

[...]

-> ldapsearch -b "dc=TestNSS" -LLL -H "ldaps://aaa.bbb.ccc.ddd/" -x
"(cn­min)"
ERREUR :
ldap_bind: Can't contact LDAP server (-1)
additional info: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed


^^^^

[...]

New, TLSv1/SSLv3, Cipher is AES256-SHA


^^^^^
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID:
1D2FDD0C620A67C44DAD128FD35FE3D3CC9F554B9716C73C08CE97FF38F9822B
Session-ID-ctx:
Master-Key:
0C7D078193BB18BE43EB851BE83EE27C8BCE623AAA025E8BF9A8D8CA4E6AC80727ECFF596B257EFD43263F9AC6CF7B9F
Key-Arg : None
Start Time: 1128671693
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---



L'erreur est assez clair :-)



En effet...

--
Léo.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Leopold BAILLY
Farget Vincent writes:

Leopold BAILLY a écrit :
Farget Vincent writes:

Bonjour à tous,

Je suis en train de mettre en place, sur un serveur de test Debain Sarge un
service d'annuaire 'OpenLDAP' sécurisé.

Celui-ci marche bien en 'ldap' mais pas en 'ldaps'.
J'ai un petit problème de vérification de certificat.







[...]


Problème résolu !!!



[...]

Maintenant que ça marche pour toi, j'aimerais savoir si tu as remarqué le même
phénomène que moi : l'établissement de la connexion entre l'application cliente
et slapd prend plusieurs secondes, pendant lesquelles le CPU est utilisé à 100%
côté client.

C'est assez pénible, si bien que j'ai dû renoncé à ssl pour l'authentification
centralisée.

--
Léo.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact