Неверный сертификат LAM

[Obmorcheg]

Добрый день, коллеги. Не могу подрубиться к LDAP серверу через вебморду LDAP Account Manager
В syslog следующие записи:

Код: [Выделить]

Jan 23 09:29:24 ldap php: LDAP Account Manager (ххх) - DEBUG: Display login page
Jan 23 09:29:29 ldap php: LDAP Account Manager (ххх) - ERROR: Unable to start TLS encryption. Please check if your server certificate is valid and if the LDAP server supports TLS at all.
У Апача, да, сертификат хоста просрочен его сгенерировать нужно? У LDAP сертификат тоже просрочен, но вроде все работает. Клиенты (sssd) базу читают.
Не подскажете правильный путь замены сертификатов, я то то в мануале у LAM не нашел..

[egor]

Здравствуйте! Это ошибка относится к сертификату LDAP-сервера (не Apache и не LAM). Если он просрочен, нужно его заменить по тому пути, который прописан в настройках LDAP-сервера (ваш кэп =) ).

Егор

[Obmorcheg]

Кэп ), соответственно на всех клиентах его тоже нужно будет поменять?

[egor]

Кэп ), соответственно на всех клиентах его тоже нужно будет поменять?

Если сертификат LDAP-сервера самоподписанный (то есть одновременно является и сертификатом сервера и сертификатом центра сертификации), то придётся его менять и на всех клиентах. Если сертификат центра сертификации (CA) отдельный и он прописан на клиентах для проверки сертификата сервера, то тогда можно сгенерировать только новый сертификат сервера и поменять его только на сервере.

[Obmorcheg]

sssd.conf (клиенты)

Код: [Выделить]

ldap_tls_reqcert = allow
ldap_tls_cacert = /etc/ssl/ldap/ca_cert.pem
ldap_tls_cacertdir = /etc/ssl/ldapЯ так понимаю, что на клиенте прописан сертификат УЦ. В админке LAM прописан он же: ca_cert.pem. Срок его действия истек.

slapd.conf (сервер)

Код: [Выделить]

TLS_CACERT /etc/ldap/ca_cert.pem

cn=config.ldif (сервер)

Код: [Выделить]

olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem
olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key
olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem
ldap_server.pem выдан УЦ действителен до 2032 года

Я запутался .. получается что на сервере, что на клиентах один и тот же сертификат УЦ

Фигня какая то получается

[egor]

То, что на всех серверах и клиентах прописан один и тот же сертификат УЦ -- это правильно. Смысл в том, что УЦ выдаёт сертификат, например, серверу, этот сертификат подписан закрытым ключом УЦ. В сертификате УЦ есть открытый ключ УЦ. Клиент, получив сертификат сервера, проверяет его электронную подпись с помощью открытого ключа УЦ из сертификата УЦ. Если подпись корректна и клиент доверяет УЦ, значит он может доверять серверу -- это так называемая цепочка доверия (в ней могут быть разные промежуточные УЦ, тогда на клиенте должны быть сертификаты каждого из них).

То, что сертификат УЦ просрочился -- это тоже нормально. Правда, теперь на всех клиентах и на сервере придется менять сертификат УЦ (на непросроченный), а на сервере также прописывать новый сертификат сервера, подписанный закрытым ключом, парный к которому открытый ключ будет в непросроченном сертификате УЦ.