je suis en train de découvrir les joies de OpenLDAP 2.4 sur Squeeze.
J'ai pu monter un slapd fonctionnel pour l'authentification, mais je n'arrive
pas à configurer le TLS. Il semble qu'il faille utiliser GNUTLS et plus OpenSSL.
Première question : est-ce vrai ?
Deuxième question : si je fais un openssl s_client -connect monserveur:636
j'obtiens un
24598:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:188
Génération de mes .key et .csr :
certtool --generate-privkey --outfile maclef
certtool --generate-request --load-privkey maclef --outfile moncsr
Evidement rien dans mon syslog même en debug any
--
David Dumortier
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110516094300.GB7489@nowhere.eden
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
David Dumortier
Re-bonjour,
J'ai un peu avancé.
Le lun. mai 16 2011 � 11:43:00 +0200, David Dumortier dit :
Bonjour,
je suis en train de découvrir les joies de OpenLDAP 2.4 sur Squeeze. J'ai pu monter un slapd fonctionnel pour l'authentification, mais je n'arrive pas à configurer le TLS. Il semble qu'il faille utiliser GNUTLS et plus OpenSSL. Première question : est-ce vrai ? Deuxième question : si je fais un openssl s_client -connect monserveur:636 j'obtiens un 24598:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188
Génération de mes .key et .csr : certtool --generate-privkey --outfile maclef certtool --generate-request --load-privkey maclef --outfile moncsr
Is this a TLS web client certificate? (y/N): y Is this also a TLS web server certificate? (y/N): y me génère un certificat un peu plus valide : openssl s_client -connect monip:636 -showcerts CONNECTED(00000003) ... les infos de mon csr ... 25480:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:
-- David Dumortier
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Re-bonjour,
J'ai un peu avancé.
Le lun. mai 16 2011 � 11:43:00 +0200, David Dumortier dit :
Bonjour,
je suis en train de découvrir les joies de OpenLDAP 2.4 sur Squeeze.
J'ai pu monter un slapd fonctionnel pour l'authentification, mais je n'arrive
pas à configurer le TLS. Il semble qu'il faille utiliser GNUTLS et plus OpenSSL.
Première question : est-ce vrai ?
Deuxième question : si je fais un openssl s_client -connect monserveur:636
j'obtiens un
24598:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:188
Génération de mes .key et .csr :
certtool --generate-privkey --outfile maclef
certtool --generate-request --load-privkey maclef --outfile moncsr
Is this a TLS web client certificate? (y/N): y
Is this also a TLS web server certificate? (y/N): y
me génère un certificat un peu plus valide :
openssl s_client -connect monip:636 -showcerts
CONNECTED(00000003)
... les infos de mon csr ...
25480:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:188:
--
David Dumortier
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110516143913.GC7489@nowhere.eden
Le lun. mai 16 2011 � 11:43:00 +0200, David Dumortier dit :
Bonjour,
je suis en train de découvrir les joies de OpenLDAP 2.4 sur Squeeze. J'ai pu monter un slapd fonctionnel pour l'authentification, mais je n'arrive pas à configurer le TLS. Il semble qu'il faille utiliser GNUTLS et plus OpenSSL. Première question : est-ce vrai ? Deuxième question : si je fais un openssl s_client -connect monserveur:636 j'obtiens un 24598:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188
Génération de mes .key et .csr : certtool --generate-privkey --outfile maclef certtool --generate-request --load-privkey maclef --outfile moncsr
Is this a TLS web client certificate? (y/N): y Is this also a TLS web server certificate? (y/N): y me génère un certificat un peu plus valide : openssl s_client -connect monip:636 -showcerts CONNECTED(00000003) ... les infos de mon csr ... 25480:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:
-- David Dumortier
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110516214437.24f35ca4@debian1-home.aygalenq.net
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
David Dumortier
Bonjour,
Le lun. mai 16 2011 � 09:44:37 +0200, JC dit :
Bonjour,
J'ai bataillé un moment je me rappelle moi aussi pour faire marcher mon openLDAP.
Ne pas confondre SSL et TLS. Un lien qui m'avait bien aidé : http://www.openldap.org/lists/openldap-software/200810/msg00168.html
Merci cela assoit ma compréhension entre les 2, qui était assez floue j'avoue.
Sinon coté client il ne faut pas non plus oublier de copier (indispensable sous Linux, sous WIndows je ne suis pas sur ?) le fichier certificat de l'autorité racine pour passer en TLS il faut mettre dans ~/.ldaprc TLS_CACERT /home/user/path/rootCA.crt TLS_REQCERT try
Pour l'instant j'essaie de le faire fonctionner avec un certificat auto-signé. Je n'arrive pas à passer l'étape du "handshake".
En espérant que cela t'aidera. Cordialement. -- Salutations. Jean-Claude
-- David Dumortier
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bonjour,
Le lun. mai 16 2011 � 09:44:37 +0200, JC dit :
Bonjour,
J'ai bataillé un moment je me rappelle moi aussi pour faire marcher mon
openLDAP.
Ne pas confondre SSL et TLS.
Un lien qui m'avait bien aidé :
http://www.openldap.org/lists/openldap-software/200810/msg00168.html
Merci cela assoit ma compréhension entre les 2, qui était assez floue j'avoue.
Sinon coté client il ne faut pas non plus oublier de copier (indispensable
sous Linux, sous WIndows je ne suis pas sur ?) le fichier certificat de
l'autorité racine pour passer en TLS il faut mettre dans ~/.ldaprc
TLS_CACERT /home/user/path/rootCA.crt
TLS_REQCERT try
Pour l'instant j'essaie de le faire fonctionner avec un certificat auto-signé.
Je n'arrive pas à passer l'étape du "handshake".
En espérant que cela t'aidera.
Cordialement.
--
Salutations.
Jean-Claude
--
David Dumortier
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110517062904.GD7489@nowhere.eden
J'ai bataillé un moment je me rappelle moi aussi pour faire marcher mon openLDAP.
Ne pas confondre SSL et TLS. Un lien qui m'avait bien aidé : http://www.openldap.org/lists/openldap-software/200810/msg00168.html
Merci cela assoit ma compréhension entre les 2, qui était assez floue j'avoue.
Sinon coté client il ne faut pas non plus oublier de copier (indispensable sous Linux, sous WIndows je ne suis pas sur ?) le fichier certificat de l'autorité racine pour passer en TLS il faut mettre dans ~/.ldaprc TLS_CACERT /home/user/path/rootCA.crt TLS_REQCERT try
Pour l'instant j'essaie de le faire fonctionner avec un certificat auto-signé. Je n'arrive pas à passer l'étape du "handshake".
En espérant que cela t'aidera. Cordialement. -- Salutations. Jean-Claude
-- David Dumortier
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110517150139.2d933cbe@debian1-home.aygalenq.net
> Pour l'instant j'essaie de le faire fonctionner avec un certificat auto-signé.
> Je n'arrive pas à passer l'étape du "handshake".
Penses aussi que le cn de ton certificat doit matcher parfaitement le
résultat de ton "hostname -f"
Merci, j'ai corrigéi, effectivement ça manquait.
Cordialement.
--
Salutations.
Jean-Claude
Merci, j'avance petit à petit :-)
--
David Dumortier
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110517132312.GE7489@nowhere.eden
