[BraLUG] ldap und tls
Karsten Engelmann
engel66 at bralug.de
Di Okt 6 15:12:07 CEST 2009
Ingo Schaefer schrieb:
> Hallo Carsten,
> Am Dienstag, den 06.10.2009, 11:14 +0200 schrieb Karsten Engelmann:
>> 389/tcp open ldap
>> 636/tcp open ldapssl
> [.. ]
>> Also sollte es grundlegend mal funktionieren.
>
> Ja. Sieht gut aus.
>
>> Die Schlüssel habe ich selbst erzeugt und als CA signiert. Aber nur der
>> Server hat einen. Eigentlich brauche ich doch auf der Client Seite
>> keinen oder irre ich da.
>
> Ich denke, da liegst Du richtig.
>
> Der naechste Test waere meiner Ansicht nach, in dem man per ldapsearch
> auf dem Server mit localhost:636 als Server die Verschluesselung lokal
> testet, bevor man als weitere Unsicherheit einen PC oder eine andere
> Software mit einbringt (wo unter Umstaenden gar nicht klar ist, wie man
> die richtig konfiguriert)
Ja ja, das habe ich natürlich bereits getan:
ldapsearch -x -ZZ
ldap_start_tls: Connect error (-11)
Das -ZZ erzwingt tls. Anders wenn er nach Möglichkeit tls machen kann:
ldapsearch -x -Z
ldap_start_tls: Connect error (-11)
# extended LDIF
#
# LDAPv3
# base <> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# search result
search: 3
result: 32 No such object
# numResponses: 1
Das läuft alles auf dem localhost. Warum er nichts findet ist mir auch
unklar, Luma findet alles. Böse Zungen behaupten das tls mit Debian
keinen Spass macht, da dort gnussl benutzt wird. Mal sehen.
Nun habe ich mal den Schlüssel getestet:
openssl s_client -connect localhost:636 -showcerts
CONNECTED(00000003)
depth=0 /DC=org/DC=vlf/ST=Deutschland/L=Potsdam/O=vlf
Brandenburg/OU=iuk/CN=admin.vlf.org/emailAddress=kengelmann at vlf.pdm
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /DC=org/DC=vlf/ST=Deutschland/L=Potsdam/O=vlf
Brandenburg/OU=iuk/CN=admin.vlf.org/emailAddress=kengelmann at vlf.pdm
verify error:num=27:certificate not trusted
verify return:1
depth=0 /DC=org/DC=vlf/ST=Deutschland/L=Potsdam/O=vlf
Brandenburg/OU=iuk/CN=admin.vlf.org/emailAddress=kengelmann at vlf.pdm
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=org/DC=vlf/ST=Deutschland/L=Potsdam/O=vlf
Brandenburg/OU=iuk/CN=admin.vlf.org/emailAddress=kengelmann at vlf.pdm
i:/DC=org/DC=vlf/ST=Deutschland/O=vlf
Brandenburg/OU=iuk/CN=admin.vlf.org/emailAddress=kengelmann at vlf.pdm
-----BEGIN CERTIFICATE-----
hier steht das Zertifikat
-----END CERTIFICATE-----
---
Server certificate
subject=/DC=org/DC=vlf/ST=Deutschland/L=Potsdam/O=vlf
Brandenburg/OU=iuk/CN=admin.vlf.org/emailAddress=kengelmann at vlf.pdm
issuer=/DC=org/DC=vlf/ST=Deutschland/O=vlf
Brandenburg/OU=iuk/CN=admin.vlf.org/emailAddress=kengelmann at vlf.pdm
---
No client certificate CA names sent
---
SSL handshake has read 1193 bytes and written 316 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID:
5DA5E776C379FEBCB77B084FAEB9E6D290CFF438720BA5E661AB790A01E07A43
Session-ID-ctx:
Master-Key:
E7C222C5890D9B2A4370CBE5FF6C60BFFB09D2E106F094153CEC947C122428C5BCB3EDC5E696BD46C156157E5A2010CC
Key-Arg : None
Start Time: 1254833328
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
Nun was bedeutet das? Ist mit meinem Zertifikat was nicht in Ordnung.
Kann jemand daraus entnehmen was ihm fehlt?
Gruss Karsten
P.S. ich stochere gerade im Dunkeln, man verzeihe mir
Mehr Informationen über die Mailingliste Bralug