Marco Gaiarin ha scritto:
Scusatemi ma proprio non mi raccapezzo.
TLS_CACERTDIR /etc/ssl/certs
se dentro ho uno/due certificati non succede nulla.
corretto:
oltre a mettere i certificati devi "indicizzarli" con il loro hash: il
comando e':
cd /etc/ssl/certs
for cert in cert1.pem, cert2.pem
do
if [ -a $cert ]
then
ln -s $cert `openssl x509 -hash -noout -in $cert`.0
echo "Ho creato lo hash per $cert"
else echo "Il certificato $cert non e' in questa directory"
fi
done
Ma se installo il pacchetto ca-certificates che contiene il centinaio
di certificati 'standard' delle varie CA accreditate, ad ogni 'connect'
รจ come se i certificati venissero 'enumerati': per una decina
abbondante di secondi la CPU schizza al 100% e la connessione stalla.
Non so risponderti al perche' ci mette tanto il connect. A me non fa
questo scherzo. Pero' il pacchetto ca-certificates, come vedi, crea gli
hash.
Ovviamente il problema non si pone se io esplicito il certificato della
CA:
TLS_CACERT /etc/ssl/certs/LNFVeneto.pem
cat cert1.pem >> cert2.pem
puoi creare un file di certificati che contiene n certificati, uno in
coda all'altro. Dovrebbe funzionare, anzi, deve funzionare, perche'
serve a coloro che hanno una catena di certificati.
[...]
Ho provato anche a 'giocare' con i parametro:
TLS_REQCERT never
ma senza alcun cambiamento.
Non ti so aiutare su questo parametro.
Pero' prova una delle due strade:
1) concatena i certificati con cat e usa TLS_CACERT
Questa e' la soluzione che uso e che consiglio.
2) crea gli hash e usa TLS_CACERTDIR, ma consiglierei di usare lo stesso
anche TLS_CACERT (li specifici tutti e due) perche' ricordo almeno un
caso in cui TLS_CACERTDIR era ignorato se non era presente anche TLS_CACERT.
Ciao,
Francesco
Se sbaglio qualcosa, dove sbaglio? Grazie.
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
