Автор Тема: Неверный сертификат LAM  (Прочитано 4719 раз)

Obmorcheg

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Неверный сертификат LAM
« : 23 Январь 2024, 09:16:34 »
Добрый день, коллеги. Не могу подрубиться к LDAP серверу через вебморду LDAP Account Manager
В syslog следующие записи:

Jan 23 09:29:24 ldap php: LDAP Account Manager (ххх) - DEBUG: Display login page
Jan 23 09:29:29 ldap php: LDAP Account Manager (ххх) - ERROR: Unable to start TLS encryption. Please check if your server certificate is valid and if the LDAP server supports TLS at all.

У Апача, да, сертификат хоста просрочен его сгенерировать нужно? У LDAP сертификат тоже просрочен, но вроде все работает. Клиенты (sssd) базу читают.
Не подскажете правильный путь замены сертификатов, я то то в мануале у LAM не нашел..

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Неверный сертификат LAM
« Ответ #1 : 29 Январь 2024, 16:17:25 »
Здравствуйте! Это ошибка относится к сертификату LDAP-сервера (не Apache и не LAM). Если он просрочен, нужно его заменить по тому пути, который прописан в настройках LDAP-сервера (ваш кэп =) ).

Егор

Obmorcheg

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Неверный сертификат LAM
« Ответ #2 : 01 Февраль 2024, 07:51:39 »
Кэп ), соответственно на всех клиентах его тоже нужно будет поменять?

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Неверный сертификат LAM
« Ответ #3 : 01 Февраль 2024, 09:45:32 »
Кэп ), соответственно на всех клиентах его тоже нужно будет поменять?

Если сертификат LDAP-сервера самоподписанный (то есть одновременно является и сертификатом сервера и сертификатом центра сертификации), то придётся его менять и на всех клиентах. Если сертификат центра сертификации (CA) отдельный и он прописан на клиентах для проверки сертификата сервера, то тогда можно сгенерировать только новый сертификат сервера и поменять его только на сервере.

Obmorcheg

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Неверный сертификат LAM
« Ответ #4 : 19 Февраль 2024, 14:19:07 »
sssd.conf (клиенты)
ldap_tls_reqcert = allow
ldap_tls_cacert = /etc/ssl/ldap/ca_cert.pem
ldap_tls_cacertdir = /etc/ssl/ldap
Я так понимаю, что на клиенте прописан сертификат УЦ. В админке LAM прописан он же: ca_cert.pem. Срок его действия истек.

slapd.conf (сервер)
TLS_CACERT /etc/ldap/ca_cert.pem

cn=config.ldif (сервер)
olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem
olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key
olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem
ldap_server.pem выдан УЦ действителен до 2032 года

Я запутался .. получается что на сервере, что на клиентах один и тот же сертификат УЦ

Фигня какая то получается
« Последнее редактирование: 19 Февраль 2024, 14:30:10 от Obmorcheg »

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Неверный сертификат LAM
« Ответ #5 : 21 Февраль 2024, 09:14:41 »
То, что на всех серверах и клиентах прописан один и тот же сертификат УЦ -- это правильно. Смысл в том, что УЦ выдаёт сертификат, например, серверу, этот сертификат подписан закрытым ключом УЦ. В сертификате УЦ есть открытый ключ УЦ. Клиент, получив сертификат сервера, проверяет его электронную подпись с помощью открытого ключа УЦ из сертификата УЦ. Если подпись корректна и клиент доверяет УЦ, значит он может доверять серверу -- это так называемая цепочка доверия (в ней могут быть разные промежуточные УЦ, тогда на клиенте должны быть сертификаты каждого из них).

То, что сертификат УЦ просрочился -- это тоже нормально. Правда, теперь на всех клиентах и на сервере придется менять сертификат УЦ (на непросроченный), а на сервере также прописывать новый сертификат сервера, подписанный закрытым ключом, парный к которому открытый ключ будет в непросроченном сертификате УЦ.