客户端如何配置TLS

merry_memory

openldap-2.2.13, openssl-0.9.7a
ldap服务端
/usr/share/ssl/misc/CA -newca，生成CA证书
openssl req -new -nodes -subj '/....' -keyout slapd-key.pem -out slapd-req.pem -days 900生成私钥和服务器证书
openssl ca -out slapd-cert.pem -infiles slapd-req.pem用CA证书校验服务器证书
都正常，将cacert.pem放到/etc/openldap/cacerts/中，slapd-key.pem和slapd-cert.pem放置到/etc/openldap中，拥有者全部改为ldap:ldap，slapd-key权限600，slapd-cert和cacert权限644
在slapd.conf中增加tls部分
TLSCipherSuite HIGH
TLSCACertificateFile /etc/openldap/cacerts/cacert.pem
TLSCertificateFile /etc/openldap/slapd-cert.pem
TLSCertificateKeyFile /etc/openldap/slapd-key.pem
启动ldap
在客户端用authconfig启动ldap和tls。用指令ldapsearch -H ldaps://服务器ip -x 访问服务器，出现错误，提示为certificate verify failed
我认为服务器端的配置是没有错的，用ldapsearch -H ldap://服务器ip -x可以看到服务器端内容。但是客户端需要如何配置呢？cacert.pem文件应该如何得到？

merry_memory

636端口也已经启动

py

这个问题我没出现过，slapd.conf部分的配置没有问题。对于正确的生成证书我也不是非常明白，但是，按照官方给出的例子我没能成功的生成证书。建议搂主在google上找找，多找几个生成证书的方法试试。

James_Guan

将cacert.pem从server copy到client, 一般放在/etc/openldap/下，
然后将TLS_CACERT /etc/openldap/cacert.pem 加入到/etc/openldap/ldap.conf

merry_memory

这里有一片很详细的介绍文章
http://www.openldap.org/pub/ksoper/OpenLDAP_TLS.html