我已经尝试了2天,以使OpenLDAP与TLS一起使用,其中我有一个由我自己的中间CA签名的站点证书,该证书由我自己的根CA签名。而且无论我尝试了什么,我都会在系统日志中出现
dn: cn=config
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ldap/ca-certs/ca-ica.cert.crt
-
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/sasl2/site.cert.crt
-
replace: olcTLSCertificateKeyFile:
olcTLSCertificateKeyFile: /etc/ldap/sasl2/site.key.crt
我已将这些文件的所有者设置为openldap。我在site.key.crt上拥有chmod 640。ca-ica.cert.crt由cat中间体.crt创建。ca.cert> ca-ica.cert.crt
我知道证书链可以验证,因为我运行了openssl verify -CAfile ca-ica.cert.crt site.cert.crt,并且可以正常工作。
我什至尝试在c_rehash目录上使用olcTLSCertificatePath。无效。
如果我只是尝试使用简单的自签名证书,则可以正常工作,并且可以连接StartTLS。
我对OpenLDAP的了解约为20%,对证书管理的了解约为30%。但是我很困惑。
任何想法都将不胜感激。
我已经尝试了2天,以使OpenLDAP与TLS一起使用,其中我有一个由我自己的中间CA签名的站点证书,该证书由我自己的根CA签名。而且无论我尝试了什么,我都会得到...