Il problema mi sembra di capire che stia in qualche modo nel tuo certificato CA.
Mi confermi che con il curl, se aggiungi il flag "-k", non ti da' errori? curl -v -k --noproxy "*" --cacert /etc/ssl/certs/LNFFVG.pem https://ldap.corsi.sv.lnf.it:636 Poi lanciami questo: openssl x509 -in /etc/ssl/certs/LNFFVG.pem -text -noout | grep -B1 -A1 "CA" Se addirittura tu mi potessi postare l'intero output del comando sopra, senza la grep, sarebbe meglio. Ciao M. P.s. Fai sempre rispondi a tutti: teniamo la mailing list aggiornata. On Fri, Sep 3, 2010 at 3:30 PM, Marco Gaiarin <g...@sv.lnf.it> wrote: > Mandi! Marco Pizzoli > In chel di` si favelave... > > > - Tu sei sicuro che il file /etc/ssl/LNF.crt sia un certificato CA > valido? > > Puoi provare "openssl x509 -in /etc/ssl/LNF.crt -noout -text" e dirmi > se e' > > ok? > > ...mi da solo il primo dei due certificati presenti, ma ad ogni modo è > OK. > > > - Tu sei sicuro che i permessi di lettura sul certificato CA > /etc/ssl/LNF.crt > > sono ok? > > Assolutamente si. > > > > Altra prova che ti chiedo, giusto per aggiungere elementi. Mi provi a > > connetterti con il curl? > > curl -v --cacert /etc/ssl/LNF.crt https://<ip_del_server>:636 > > curl -v --cacert /etc/ssl/certs/LNFFVG.pem https:// > <ip_del_server>:636 > > Vediamo cosa viene fuori. > > In entrambi i casi da la stessa risposta: > > g...@lily:~$ curl -v --noproxy "*" --cacert /etc/ssl/certs/LNFFVG.pem > https://ldap.corsi.sv.lnf.it:636 > * About to connect() to ldap.corsi.sv.lnf.it port 636 (#0) > * Trying 10.5.7.1... connected > * Connected to ldap.corsi.sv.lnf.it (10.5.7.1) port 636 (#0) > * successfully set certificate verify locations: > * CAfile: /etc/ssl/certs/LNFFVG.pem > CApath: /etc/ssl/certs > * SSLv3, TLS handshake, Client hello (1): > * SSLv3, TLS handshake, Server hello (2): > * SSLv3, TLS handshake, CERT (11): > * SSLv3, TLS alert, Server hello (2): > * SSL certificate problem, verify that the CA cert is OK. Details: > error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify > failed > * Closing connection #0 > curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: > error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify > failed > More details here: http://curl.haxx.se/docs/sslcerts.html > > curl performs SSL certificate verification by default, using a "bundle" > of Certificate Authority (CA) public keys (CA certs). If the default > bundle file isn't adequate, you can specify an alternate file > using the --cacert option. > If this HTTPS server uses a certificate signed by a CA represented in > the bundle, the certificate verification probably failed due to a > problem with the certificate (it might be expired, or the name might > not match the domain name in the URL). > If you'd like to turn off curl's verification of the certificate, use > the -k (or --insecure) option. > > > Giusto perchè ormai non sapevo più che fare: > > g...@lily:~$ scp mouse /etc/ssl/certs/LNFFVG.pem . > cp: impossibile eseguire stat di "mouse": Nessun file o directory > g...@lily:~$ scp mouse:/etc/ssl/certs/LNFFVG.pem . > LNFFVG.pem > > 100% 2744 2.7KB/s > 00:00 > g...@lily:~$ diff -ud LNFFVG.pem /etc/ssl/certs/LNFFVG.pem > g...@lily:~$ > > Ovvero client e server hanno lo stesso certificato della CA. > > -- > dott. Marco Gaiarin GNUPG Key ID: 240A3D66 > Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/ > Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) > marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797 > > Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! > http://www.lanostrafamiglia.it/chi_siamo/5xmille.php > (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA) > -- _________________________________________ Non è forte chi non cade, ma chi cadendo ha la forza di rialzarsi. Jim Morrison
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
