Адресная книга в LDAP через SSL

wolverin · №1

Поднял на сервере LDAP каталог, создал SSL сертификаты, импортировал корневой через Internet Explorer, настроил Outlook Express 6.00.2900.5512 через SSL по 636 порту - все ОК!
Делаю тоже самое с Thunderbird 17.0.5 (импортировал корневой в Центры сертификации с полным доверием, настроил работу через SSL) - но подключения не происходит и в логах сервера вижу

Выделить код

Код:

slapd[10218]: conn=1008 fd=16 ACCEPT from IP=х.х.х.х:4302 (IP=0.0.0.0:636)
slapd[10218]: conn=1008 fd=16 closed (TLS negotiation failure)

что делать? (с)
через 389 Thunderbird работает тоже.

Отредактировано wolverin (14-05-2013 07:32:00)

wolverin · №2

заметил такую особенность - у меня для почты на 443 порту поднята веб морда, так вот если указывать в исключениях ldaps://адрес - то почему то находится этот сертификат, а не который на 636 порту.
в таком вариенте https://адрес:636 - исключение вообще не находится, хотя ldapsearch прекрасно работает с сертификатом на этом порту
кривая мозила?

Отредактировано wolverin (16-05-2013 09:01:37)

sentaus · №3

хотя ldapsearch прекрасно работает с сертификатом на этом порту
кривая мозила?

Вообще, телепаты в отпуске, но похоже на кривой сертификат. Например, если в нём для подписи используется хэш-функция MD5, то FF и TB принимать его не будут, MD5 в них уже выведен из эксплуатации. Не ваш ли это случай?

banbot · №4

wolverin
http://www.linuxquestions.org/questions … re-903809/ читали?

wolverin · №5

banbot пишет

wolverin
http://www.linuxquestions.org/questions … re-903809/ читали?

давно уж как прочитал, автор там так и не написал как решил проблему.

Добавлено 17-05-2013 05:44:59

sentaus пишет

Вообще, телепаты в отпуске, но похоже на кривой сертификат. Например, если в нём для подписи используется хэш-функция MD5, то FF и TB принимать его не будут, MD5 в них уже выведен из эксплуатации. Не ваш ли это случай?

все может быть
генерил его так

Выделить код

Код:

#!/bin/bash

certtool --generate-privkey > ./private/cakey.pem
certtool --generate-self-signed --load-privkey ./private/cakey.pem --template ca.info --outfile ./certs/cacert.pem
certtool --generate-privkey > ./private/ldap_key.pem
certtool --generate-certificate --load-privkey ./private/ldap_key.pem --load-ca-certificate ./certs/cacert.pem --load-ca-privkey ./private/cakey.pem --template ldap.info --outfile ./certs/ldap_cert.pem
chgrp ssl-cert ./private/ldap_key.pem
chmod 640 ./private/ldap_key.pem

# !!! Перезапись сертификатов
cp -vp ./private/*.pem /etc/ssl/private/
cp -vp ./certs/*.pem /etc/ssl/certs/
c_rehash /etc/ssl/certs/

#ldapmodify -Y EXTERNAL -H ldapi:/// -f tls_enable.ldif
/etc/init.d/slapd restart

# cat ca.info
cn = OOO Бла
ca
cert_signing_key
expiration_days = 3650

# cat ldap.info
organization = OOO Бла
cn = бла.бла.ru
tls_www_server
encryption_key
signing_key
expiration_days = 3650

в самом СА сертификате показывает
Версия V3
Алгоритм подписи sha1RSA
Открытый ключ RSA (2048 Bits)
Алгоритм отпечатка sha

Добавлено 17-05-2013 05:47:38
самое забавное на какой то 3.х версии ТВ у меня заработало вообще без проблем, но на других машинах даже с той же версией запустить не смог ((

Отредактировано wolverin (17-05-2013 05:47:38)

wolverin · №6

вот ssldump от работающего OE

Выделить код

Код:

New TCP connection #50: dynamicip-х-х-х-х.pppoe.chel.ertelecom.ru(2219) <-> х.х.х.х(636)
50 1  0.0855 (0.0855)  C>S SSLv2 compatible client hello
  Version 3.1
  cipher suites
  TLS_RSA_WITH_RC4_128_MD5
  TLS_RSA_WITH_RC4_128_SHA
  TLS_RSA_WITH_3DES_EDE_CBC_SHA
  SSL2_CK_RC4
  SSL2_CK_3DES
  SSL2_CK_RC2
  TLS_RSA_WITH_DES_CBC_SHA
  SSL2_CK_DES
  TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
  TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  TLS_RSA_EXPORT_WITH_RC4_40_MD5
  TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  SSL2_CK_RC4_EXPORT40
  SSL2_CK_RC2_EXPORT40
  TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  TLS_DHE_DSS_WITH_DES_CBC_SHA
  TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
  Unknown value 0xff
50 2  0.0858 (0.0002)  S>CV3.1(74)  Handshake
      ServerHello
        Version 3.1
        random[32]=
          51 95 8f 63 4d 42 11 46 4c b0 2f c5 cf c5 23 11
          78 86 1e e3 69 13 46 bd d3 e5 a6 d1 dd 5e 0e 36
        session_id[32]=
          21 82 9a 59 3d 83 b8 ef fa c4 11 c1 e9 aa 3b ff
          ef ed 4b cd 16 4c 14 cd d0 62 23 3b 11 67 ba ba
        cipherSuite         TLS_RSA_WITH_RC4_128_MD5
        compressionMethod                   NULL
50 3  0.0858 (0.0000)  S>CV3.1(1594)  Handshake
      Certificate
50 4  0.1821 (0.0962)  S>CV3.1(4)  Handshake
      ServerHelloDone
50 5  0.5317 (0.3496)  C>SV3.1(262)  Handshake
      ClientKeyExchange
        EncryptedPreMasterSecret[256]=
          3c 69 2c 90 e8 72 d5 98 05 b4 0a 8f dc 75 f0 d6
          eb f4 68 34 23 e5 5c 47 b7 02 77 78 3a 75 0d f3
          e9 e3 26 37 c8 68 e1 d8 cc 0f c3 fd 38 27 97 9c
          .......
50 6  0.5317 (0.0000)  C>SV3.1(1)  ChangeCipherSpec
50 7  0.5317 (0.0000)  C>SV3.1(32)  Handshake
50 8  0.5396 (0.0078)  S>CV3.1(1)  ChangeCipherSpec
50 9  0.5397 (0.0000)  S>CV3.1(32)  Handshake
50 10 0.7471 (0.2073)  C>SV3.1(142)  application_data
50 11 0.7475 (0.0004)  S>CV3.1(30)  application_data
50 12 0.8520 (0.1044)  C>SV3.1(713)  application_data
50 13 0.9111 (0.0590)  S>CV3.1(519)  application_data
50 14 0.9112 (0.0001)  S>CV3.1(337)  application_data
50 15 0.9113 (0.0001)  S>CV3.1(677)  application_data
50 16 0.9114 (0.0000)  S>CV3.1(564)  application_data
50 17 0.9119 (0.0004)  S>CV3.1(526)  application_data
50 18 0.9927 (0.0808)  S>CV3.1(288)  application_data
50 19 0.9927 (0.0000)  S>CV3.1(321)  application_data
50 20 0.9927 (0.0000)  S>CV3.1(462)  application_data
50 21 0.9927 (0.0000)  S>CV3.1(348)  application_data
50 22 0.9927 (0.0000)  S>CV3.1(436)  application_data
50 23 0.9927 (0.0000)  S>CV3.1(379)  application_data
50 24 0.9927 (0.0000)  S>CV3.1(409)  application_data
50 25 0.9927 (0.0000)  S>CV3.1(30)  application_data
50 26 1.2111 (0.2183)  C>SV3.1(27)  application_data
50 27 1.2113 (0.0002)  S>CV3.1(18)  Alert
50    1.2113 (0.0000)  S>C  TCP FIN
50    1.2114 (0.0001)  C>S  TCP FIN

и не работающего TB

Выделить код

Код:

New TCP connection #49: dynamicip-х-х-х-х.pppoe.chel.ertelecom.ru(2007) <-> х.х.х.х(636)
49 1  0.0884 (0.0884)  C>SV3.1(165)  Handshake
      ClientHello
        Version 3.1
        random[32]=
          51 94 fa 83 b6 24 14 ca 62 e4 9a 11 06 38 b2 6d
          ec b9 fb 1e 56 b0 84 36 26 f6 69 03 18 2b 32 ff
        cipher suites
        Unknown value 0xff
        Unknown value 0xc00a
        Unknown value 0xc014
        Unknown value 0x88
        Unknown value 0x87
        TLS_DHE_RSA_WITH_AES_256_CBC_SHA
        TLS_DHE_DSS_WITH_AES_256_CBC_SHA
        Unknown value 0xc00f
        Unknown value 0xc005
        Unknown value 0x84
        TLS_RSA_WITH_AES_256_CBC_SHA
        Unknown value 0xc007
        Unknown value 0xc009
        Unknown value 0xc011
        Unknown value 0xc013
        Unknown value 0x45
        Unknown value 0x44
        TLS_DHE_RSA_WITH_AES_128_CBC_SHA
        TLS_DHE_DSS_WITH_AES_128_CBC_SHA
        Unknown value 0xc00c
        Unknown value 0xc00e
        Unknown value 0xc002
        Unknown value 0xc004
        Unknown value 0x96
        Unknown value 0x41
        TLS_RSA_WITH_RC4_128_SHA
        TLS_RSA_WITH_RC4_128_MD5
        TLS_RSA_WITH_AES_128_CBC_SHA
        Unknown value 0xc008
        Unknown value 0xc012
        TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
        TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
        Unknown value 0xc00d
        Unknown value 0xc003
        Unknown value 0xfeff
        TLS_RSA_WITH_3DES_EDE_CBC_SHA
        compression methods
                  NULL
49 2  0.0886 (0.0001)  S>CV3.1(74)  Handshake
      ServerHello
        Version 3.1
        random[32]=
          51 94 fa 75 41 c7 30 aa 5f d7 4f 5d 1f 52 63 ca
          5f 59 5c 00 1d 93 8b 90 82 16 0f c4 c3 52 24 00
        session_id[32]=
          b3 99 6e 1a 62 8c ec 31 35 b3 16 3b 6c fd a1 bb
          89 4c 28 86 9f 44 89 c4 f4 3f f0 19 27 01 cc 86
        cipherSuite         Unknown value 0x84
        compressionMethod                   NULL
49 3  0.0886 (0.0000)  S>CV3.1(1594)  Handshake
      Certificate
49 4  0.1805 (0.0919)  S>CV3.1(4)  Handshake
      ServerHelloDone
49 5  0.1810 (0.0005)  C>SV3.1(2)  Alert
    level           fatal
    value           bad_certificate
49    0.1811 (0.0000)  S>C  TCP FIN
49    4.1250 (3.9438)  C>S  TCP RST

не понимаю в чем же там ошибка.

okkamas_knife · №7

wolverin

wolverin пишет

bad_certificate

тут надо разобраться почему не принимает сертификат.
я бы покопал 1 в направлении подтверждения (может по какойто причине проверка заканчивается фейлом,связи нет или ещё что) 2 в направлении самого сертификата - может в нем чегото не хватает или при установке встаёт не так как надо.
может при обмене чтото не отсылается или отсылается неверно.

wolverin · №8

okkamas_knife пишет

тут надо разобраться почему не принимает сертификат.

да вот как разобраться то!?
ОЕ стоит на той же машине и в нем все работает, да и вообще ОЕ везде работает где он стоит - достаточно СА сертификат в центры сертификации добавить.
А вот что может в сертификате не хватать тоже понять не могу, т.к. вроде создавал их по примерам других.
Могу оба СА и сервера открытых выложить если нужно.

ЗЫ. У меня только одна мысль - ТВ использует сертификат с 443 порта, на 636 который естественно ДРУГОЙ хотя и имя серверов одинаковое, однако пробовал без первого - безрезультатно.

Добавлено 17-05-2013 07:51:28

wolverin пишет

ТВ использует сертификат с 443 порта, на 636 который естественно ДРУГОЙ

да и исключение к 636 порту не добавляется никак.

Отредактировано wolverin (17-05-2013 07:51:28)

banbot · №9

wolverin
Лог похож на http://redmine.lighttpd.net/boards/2/topics/3515. Какой cipher-list включён на сервере?

да и исключение к 636 порту не добавляется никак.

ldaps подразумевает порт 443, полагаю. надо писать ldap://host:636.

Добавлено 17-05-2013 10:35:12
Или просто добавить корневой сертификат с диска руками в доверенные корневые центры.

Отредактировано banbot (17-05-2013 10:35:12)

wolverin · №10

banbot пишет

Или просто добавить корневой сертификат с диска руками в доверенные корневые центры.

добавлял и корневой и для сервера подписаный корневым ОЕ работает, ТВ - нет.
по ссылке написано что возможно баг веб сервера.
ldaps подразумевает 636 порт, ldap://host:636 так тоже ничего не находит.

banbot пишет

Какой cipher-list включён на сервере?

а это как посмотреть? ставил все стандартно из репозетория.

Отредактировано wolverin (17-05-2013 12:59:08)

banbot · №11

wolverin
В Thunderbird: Настройки -> Дополнительные -> Общие -> Редактор настроек
Отфильтруй по security.enable и security.ssl3 и установи все параметры, имеющие значение false, в true.

wolverin · №12

banbot пишет

Отфильтруй по security.enable и security.ssl3 и установи все параметры, имеющие значение false, в true.

частично пробовал так, сейчас снова все выставил - ничего не меняется в дампе

Выделить код

Код:

cipherSuite         Unknown value 0x84
        compressionMethod                   NULL
59 3  0.0965 (0.0000)  S>CV3.1(1594)  Handshake
      Certificate
59 4  0.1929 (0.0964)  S>CV3.1(4)  Handshake
      ServerHelloDone
59 5  0.1980 (0.0050)  C>SV3.1(2)  Alert
    level           fatal
    value           bad_certificate
59    0.1981 (0.0000)  S>C  TCP FIN
59    2.8301 (2.6320)  C>S  TCP RST

что за cipherSuite Unknown value 0x84 - может как то отключить его в ТВ?

banbot · №13

wolverin
А если установить security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref в true?

wolverin · №14

banbot пишет

security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref в true

не помогает (

нашел в мозиле Консоль ошибок, вот что там появляется после обращение к адресной книге

Выделить код

Код:

Метка времени: 17.05.2013 16:09:17
Ошибка: An error occurred updating the cmd_delete command: [Exception... "'[JavaScript Error: "cards[i] is null" {file: "chrome://messenger/content/addressbook/abResultsPane.js" line: 124}]' when calling method: [nsIController::isCommandEnabled]"  nsresult: "0x80570021 (NS_ERROR_XPC_JAVASCRIPT_ERROR_WITH_DETAILS)"  location: "JS frame :: chrome://global/content/globalOverlay.js :: goUpdateCommand :: line 75"  data: yes]
Источник: chrome://global/content/globalOverlay.js
Строка: 81
Метка времени: 17.05.2013 16:09:17
Ошибка: An

 error occurred updating the cmd_chatWithCard command: [Exception... "'[JavaScript Error: "selectedCard is null" {file: "chrome://messenger/content/addressbook/addressbook.js" line: 771}]' when calling method: [nsIController::isCommandEnabled]"  nsresult: "0x80570021 (NS_ERROR_XPC_JAVASCRIPT_ERROR_WITH_DETAILS)"  location: "JS frame :: chrome://global/content/globalOverlay.js :: goUpdateCommand :: line 75"  data: yes]
Источник: chrome://global/content/globalOverlay.js
Строка: 81

При соединении с ххх.ххх.ru:636 произошла ошибка.

Вы получили недействительный сертификат. Обратитесь к администратору сервера или отправьте сообщение по электронной почте тому, от кого вы получили этот сертификат, и сообщите следующую информацию:

Этот сертификат содержит тот же серийный номер, что и один из других сертификатов, выданных тем же центром сертификации. Пожалуйста, получите новый сертификат с уникальным номером.

(Код ошибки: sec_error_reused_issuer_and_serial)

пытаюсь понять что ТВ хочет

wolverin · №15

сразу скажу - в ноде у меня проверка ССЛ отключена и cert8.db и cert_override.txt удалял и добавлял СА по новой - воз и ныне там. Получается sec_error_reused_issuer_and_serial может в ТВ значить все что угодно.

banbot · №16

wolverin
В каком релизе это сломалось?

Добавлено 17-05-2013 17:14:55
Ты можешь выложить свой открытый ключ?

Отредактировано banbot (17-05-2013 17:14:55)

okkamas_knife · №17

wolverin
а сообщение об ошибке если вдуматься смешное - получается кто раньше встал того и тапки.
то есть увидев два сертификата с одинаковыми серийниками тб почемуто считает что тот который ему попался первым и есть настоящий.
в целом сдаётся мне что это баг
как насчет сгенерить второй сертификат для другого порта? мож прокатит такой костыль.

Добавлено 17-05-2013 18:09:26

banbot пишет

wolverin
В каком релизе это сломалось?

для удобства вычисления релиза все версии портабельного ТБ

Отредактировано okkamas_knife (17-05-2013 18:09:26)

wolverin · №18

banbot пишет

Ты можешь выложить свой открытый ключ?

СА http://file.qip.ru/file/BhSxCg00/cacert.html
Сервера http://file.qip.ru/file/HqYb4En/ldap_cert.html
TB 17.0.6 вчера дообновился. Не могу сказать что перестало работать, т.к. на той версии 3.х где почему то работало - на других машинах повторить не удалось с той же самой версией.
Если вам потребуется и найдется немного времени - я могу и доступ к моему ЛДАПу открыть, просто уже пару месяцев с этой проблемой не могу разобраться.

okkamas_knife пишет

в целом сдаётся мне что это баг
как насчет сгенерить второй сертификат для другого порта? мож прокатит такой костыль.

Что значит второй сертификат? для ЛДАП я сгенерил СА, потом для сервера и подписал его с помощью СА, просто для веб морды и почты на этом серваке используются другой сертификат, но они же на других портах (25,993,443)
Не совсем уверен что дело в ТВ, т.к. на ломаном MS Office Outlook 2007 тоже не заработало, но с ним я не стал разбираться - на той неделе надеюсь купим 2010 офис и буду писать в их сапорт.

Отредактировано wolverin (18-05-2013 08:45:13)

banbot · №19

wolverin
Кажется я понял в чём ошибка с "Этот сертификат содержит тот же серийный номер...". И у корневого сертификата cacert.pem, и у сертификата сервера ldap_cert.pem одинаковый серийный номер - 51 4a 92 83. Легко видно после импорта в окно сертификатов IE.

Добавлено 18-05-2013 21:41:32
okkamas_knife

то есть увидев два сертификата с одинаковыми серийниками тб почемуто считает что тот который ему попался первым и есть настоящий.
в целом сдаётся мне что это баг

Thunderbird считает что в одном CA не может быть двух сертификатов с одним и тем же серийным номером.

Добавлено 18-05-2013 21:43:58
https://bugzilla.mozilla.org/show_bug.cgi?id=244276#c11

Отредактировано banbot (18-05-2013 21:43:58)

wolverin · №20

banbot пишет

И у корневого сертификата cacert.pem, и у сертификата сервера ldap_cert.pem одинаковый серийный номер - 51 4a 92 83.

вы правы, перегенерил ldap_cert.pem и все заработало!!! видимо сертификат делается по времени, а скриптом у обоих команд время одинаковое получается ))

Полезная информация