On Thu, 15 Jan 2004 13:58:20 +0100
MEÏ Sébastien <[EMAIL PROTECTED]> wrote:
[SNIP]
> Si quelqu'un a un retour d'expérience là dessus, je suis aussi
> interressé. J'essayerai de mettre les résultats de mes recherches ici,
> si celà interresse du monde.
Comme promis je mets les résultats de mes recherches (fais sous Debian
Sarge) :
J'ai réussi à faire marcher mon serveur ldap en ldaps avec un certificat
autosigné.
J'ai fait un certificat autosigné :
# cd /etc/ldap/
# openssl req -new -x509 -days 3650 -nodes -keyout ldap_rsa.key -out \
ldap_rsa.crt -newkey rsa:2048
Ca me fait un certificat x509 pour 10 ans sans mot de passe (-nodes)
avec une génération de clef privé dans ldap_rsa.key avec un certificat
généré dans ldap_rsa.crt, la clef est rsa sur 2048 bits (pour le fun)
dans le slapd.conf ( n'importe ou dans le fichier de conf on dirait )
TLSCertificateFile /etc/ldap/ldap_rsa.crt
TLSCertificateKeyFile /etc/ldap/ldap_rsa.key
TLSCACertificateFile
dans le ldap.conf du client
TLS_CACERT /etc/ldap/ldap_rsa.crt
En aillant copier ldap_rsa.crt dans /etc/ldap de la machine client.
Test :
# ldapsearch -x -vv -b "dc=ens-lyon,dc=fr" -H \
ldaps://foulque.ens-lyon.fr cn=*
Ca marche !!!
IMPORTANT : Ca ne marche pas si tu fais la mm manipe mais que tu fais
ton certificat avec une clef DSA. Pourquoi ???
Voici ma manip pour faire mon certificat avec une clef DSA :
# openssl dsaparam -C -out ldap_dsa.param 1024
# openssl req -new -x509 -days 3650 -nodes -keyout ldap_dsa.key -out \
ldap_dsa.crt -newkey dsa:ldap_dsa.param
Mais la connexion est refusé qd on utilise ce certificat avec un :
ldap_bind: Can't contact LDAP server (81)
additional info: Error in the certificate.
Cordialement
MEÏ Sébastien
