Luigi Augello wrote:
Forse il problema è proprio il punto due perchè la macchina è nattata da un firewall che traduce l'indirizzo da privato a pubblico e da pubblico a privato. L'indirizzo nel certificato del client è quello pubblico (ldap.poloag.unipa.it) ma lo riceve chiaramente un indirizzo "privato" in pratica ho un certificato firmato con ldap.cupa.unipa.it, ricevuto da 192.168.1.2, penso però che se è questo il problema è risolvibile inserendo l'indirizzo privato(192.168.1.2).
Non e' questione di indirizzo, ma di nome. Devi mettere il nome con cui l'host viene risolto. Se il certificato deve valere per entrambi i nomi, puoi usare subjectAltName (se non sbaglio).
Altra cosa perchè dici che il certificato auto firmato è inutile.
perche' lo scopo dei certificati e' garantire la sicurezza, non soltanto l'offuscamento dei dati. Se non puoi verificare un certificato al piu' ti garantisci che il traffico non sara' leggibile da chiunque, ma se parli con un host "maligno" o con un man-in-the-middle attacker stai comunque compromettendo (e di brutto: se uno sa fare questo, e' in gamba) la tua sicurezza. Secondo me non ha tanto senso usare TLS senza verificare i certificati.
Non ho una'autorità per la certificazione
Se ti serve solo per uso interno, ci vogliono 2 minuti a farsela, e mantenerla e' un attimo. Se ti serve per uso esterno, devi purtroppo pagare, o prenderti la briga di convincere i tuoi client ad accettare il certificato pubblico della CA, passandoglielo in modo sicuro (per dire, non attaccato ad una email...)
p.s. scusami non so se scrivere al tuo indirizzo o a quello della lista
a quello della lista, grazie. Ciao, p. Ing. Pierangelo Masarati OpenLDAP Core Team SysNet s.r.l. via Dossi, 8 - 27100 Pavia - ITALIA http://www.sys-net.it ----------------------------------- Office: +39 02 23998309 Mobile: +39 333 4963172 Fax: +39 0382 476497 Email: a...@sys-net.it ----------------------------------- _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
