Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2928 connectés 

  FORUM HardWare.fr
  Windows & Software

  [TLS] probleme de certificat TLS

 
 


Dernière réponse
Sujet : [TLS] probleme de certificat TLS
tayduy J'ai reussi à verifier les certificats...je travaillais sur une machine virtuelle pour le client, et il y avait un probleme de synchronisation du temps.
Or j'ai un autre probleme. OK, le TLS marche, en fesant un ldapsearch -b "mabase" -x -ZZ "objectClass=*" , la liaison est crypté...mais comment fais  t on pour le mettre par defaut l'option ? en effet, si je fais de l'authentification via LDAP, je ne ne pourrais pas forcer l'option -ZZ car je serais devant une invite de commande pour me logguer.

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
tayduy J'ai reussi à verifier les certificats...je travaillais sur une machine virtuelle pour le client, et il y avait un probleme de synchronisation du temps.
Or j'ai un autre probleme. OK, le TLS marche, en fesant un ldapsearch -b "mabase" -x -ZZ "objectClass=*" , la liaison est crypté...mais comment fais  t on pour le mettre par defaut l'option ? en effet, si je fais de l'authentification via LDAP, je ne ne pourrais pas forcer l'option -ZZ car je serais devant une invite de commande pour me logguer.
tayduy Je ne pense pas car au niveau du serveur (slapd.conf) j'ai mis :
 
TLSCertificateFile              /etc/ldap/cert/servercert.pem
TLSCertificateKeyFile           /etc/ldap/cert/serverkey.pem
TLSCACertificateFile            /etc/ldap/cert/cacert.pem
 
Et au niveau du client (ldap.conf) j'ai mis ça :  
 
#Directive SSL OpenSSL
TLS_CACERT  /etc/ldap/cert/cacert.pem
 
#Directive SSL libnss et libpam
ssl start_tls
tls_checkpeer yes
tls_cacertfile  /etc/ldap/cert/cacert.pem
 
Et j'ai bien fait une copie du certificat du CA (cacert.pem) dans la machine cliente.
 
Voila, c'est bizarre...
Spud d'après l'erreur, il semble que la vérification du certificat du serveur n'aboutisse pas. Tu as du oublier de renseigner le certificat CA dans un  des fichiers de conf.
tayduy Bon ben ca marche en verifiant avec l'option CAFile mais par contre sur LDAP ca ne marche pas.  Je fais un ldapsearch avec l'option -ZZ ou -Z pour forcer le TLS mais ca me met :
 
ldap_start_tls: Connect error (-11)
        additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
 
Je ne comprend pas, pourtant le certificat est verifié manuellement...
Spud openssl verify [-CApath directory] [-CAfile file] [-purpose purpose] [-untrusted file] [-help] [-issuer_checks] [-verbose] [-] [certificates]
 
tu as bien mis les paramètres -CApath et -CAfile dans ta ligne de commande "openssl verify ....."   ?
tayduy Oui, sauf que le certificat racine, qui est ici cacert.pem, et qui a signé servercert.pem est présent...  
 
Voici la commande pour signer :
 
> " openssl x509 -req -in servercert.req -out servercert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial "
 
Signature ok
subject=/C=fr/ST=centre/L=orleans/O=cnrs-orleans/OU=lpce/CN=ldapserver.cnrs-orleans.fr
Getting CA Private Key  
 
 
Donc il me met que la signature est ok... par contre "Getting CA Private Key" J'ai pas compris ce que ce voulais dire...est ce qu'il attend quelquechose ??
 
En tout cas, en verfiant le certificat signé avec openssl verify j'ai :
 
" error 20 at 0 depth lookup:unable to get local issuer certificate
"  
Spud .....Si le certificat racine d'autorité de certification, ayant servi à signer un certificat utilisateur est absent, ce certificat utilisateur ne sera pas authentifié
 
 
error 20 at 0 depth lookup:unable to get local issuer certificate  
 
......
 
 
 
source: http://www.com.univ-mrs.fr/ssc/inf [...] smime.html
tayduy Bonjour !!
 
Voila je suis entrain de mettre en place un serveur LDAP pour remplacer du NIS.
Je suis pour l'instant sur la partie sécurité du serveur LDAP. Je voudrais utiliser du TLS pour la communication entre le client et le serveur pour que les mots de passe ne passe plus en clair sur le réseau.
Donc apparemment il faut utiliser TLS/SSL. C'est ce que j'ai fait.
Donc pour l'instant j'ai crée une clé privée pour le serveur (serverkey.pem) et généré un certificat pour le serveur ( servercert.pem) Apres j'ai crée une clé privé CA ( cakey.pem) et  un Certificat CA ( Authority Certification) autosigné (cacert.pem). Puis apres je signe le certificat du serveur (servercert.pem) par le certificat CA et sa clé privé ( ca.key et cacert.pem ) tout se passe bien, mais quand je verifie avec la commande "openssl verify servercert.pem"  j'ai une erreur :

error 20 at 0 depth lookup:unable to get local issuer certificate
 
Donc voila, si vous pouvez m'aider et me dire d'ou vient l'erreur car j'ai cherché mais je comprend rien.
 
Merci d'avance.
 

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)