क्या कोई हस्ताक्षरित पदानुक्रम है (अर्थात स्व-हस्ताक्षरित नहीं)? "वाइल्डकार्ड" और "स्व-हस्ताक्षरित" अनन्य नहीं हैं। एक वाणिज्यिक वाइल्डकार्ड प्रमाणपत्र में एक पदानुक्रम होगा, अर्थात एक या एक से अधिक मध्यवर्ती सीए, और एक रूट सीए।
sha-512 या md5 हैश को प्रमाणित हस्ताक्षर में उपयोग किया जाता है, वे एन्क्रिप्शन एल्गोरिदम नहीं हैं । ये प्रमाणित अखंडता को सत्यापित करने के लिए उपयोग किया जाता है, एक कनेक्शन के लिए उपयोग किया जाने वाला सिफर इस से स्वतंत्र रूप से बातचीत करता है।
मुझे लगता है कि सबसे संभावित कारण या तो sha512 हैं (अधिक सही रूप से, "sha512WithRSAEnc एन्क्रिप्शन") Ubuntu 10 में समर्थित नहीं है; या मशीन एक या एक से अधिक सीए सिरेट्स (मध्यवर्ती या रूट) को याद कर रही है, इसलिए पूर्ण श्रृंखला सत्यापन पूरा नहीं हो सकता है।
आप यह देख सकते हैं कि ओपनसिएल (उबंटू 10 मशीन पर) चलाकर सर्वर के नए प्रमाणपत्र से निपट सकता है:
openssl x509 -in newservercert.crt -noout -text
हालांकि यह निर्णायक नहीं हो सकता है। यह भी सहायक हो सकता है:
ldapsearch -x -Z -v -h your.ldap.server
(ओपनएसएसएल के बजाय GnuTLS का उपयोग करने की एक पतली संभावना है, वहां कोई मदद नहीं कर सकता, क्षमा करें!)
आप संभवतः अपने /etc/ldap/ldap.conf फ़ाइल में इसे जोड़कर किसी श्रृंखला समस्या की पुष्टि या खंडन कर सकते हैं:
TLS_REQCERT never
यदि वह मदद करता है, तो आपको श्रृंखला के लापता हिस्सों को प्राप्त करना चाहिए, और उन्हें अपने स्थानीय स्टोर में जोड़ना चाहिए, जो कि पूरा हो गया है वह क्लाइंट कॉन्फ़िगरेशन पर निर्भर करता है, "TLS_CACERT" और / या TLS_CACERTDIR के लिए जाँच करना / incc/ldap/ldap.conf में। निर्देश है कि आप कहां से शुरू करें।
कम संभावित कारणों में शामिल हैं:
- CRLs की जांच करने में असमर्थता (ldap.conf देखें कि क्या यह सक्षम है)
और यह मानते हुए कि कुछ और नहीं बदला गया है, पूर्णता के लिए शामिल किए गए अनुचित कारणों में शामिल हैं:
- सर्वर प्रोटोकॉल संस्करण या ग्राहक द्वारा असमर्थित सिफर सेट
- समर्थित एसएएसएल तंत्र में परिवर्तन
openssl s_client -connect your.ldap.server:636 -showcerts
यदि आपके पास ldapsearch है, तो ऊपर ldapsearch कमांड क्या कहती है?