Marco Gaiarin ha scritto:
Scusatemi ma proprio non mi raccapezzo.
TLS_CACERTDIR /etc/ssl/certs se dentro ho uno/due certificati non succede nulla.
corretto: oltre a mettere i certificati devi "indicizzarli" con il loro hash: il comando e': cd /etc/ssl/certs for cert in cert1.pem, cert2.pem do if [ -a $cert ] then ln -s $cert `openssl x509 -hash -noout -in $cert`.0 echo "Ho creato lo hash per $cert" else echo "Il certificato $cert non e' in questa directory" fi done
Ma se installo il pacchetto ca-certificates che contiene il centinaio di certificati 'standard' delle varie CA accreditate, ad ogni 'connect' รจ come se i certificati venissero 'enumerati': per una decina abbondante di secondi la CPU schizza al 100% e la connessione stalla.
Non so risponderti al perche' ci mette tanto il connect. A me non fa questo scherzo. Pero' il pacchetto ca-certificates, come vedi, crea gli hash.
Ovviamente il problema non si pone se io esplicito il certificato della CA: TLS_CACERT /etc/ssl/certs/LNFVeneto.pem
cat cert1.pem >> cert2.pem puoi creare un file di certificati che contiene n certificati, uno in coda all'altro. Dovrebbe funzionare, anzi, deve funzionare, perche' serve a coloro che hanno una catena di certificati. [...]
Ho provato anche a 'giocare' con i parametro: TLS_REQCERT never ma senza alcun cambiamento.
Non ti so aiutare su questo parametro. Pero' prova una delle due strade: 1) concatena i certificati con cat e usa TLS_CACERT Questa e' la soluzione che uso e che consiglio. 2) crea gli hash e usa TLS_CACERTDIR, ma consiglierei di usare lo stesso anche TLS_CACERT (li specifici tutti e due) perche' ricordo almeno un caso in cui TLS_CACERTDIR era ignorato se non era presente anche TLS_CACERT. Ciao, Francesco
Se sbaglio qualcosa, dove sbaglio? Grazie.
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap