Ich habe bisher OpenVPN/LDAP + OpenSSL am laufen gehabt. Der verschlüsselte Zugriff auf LDAP und das VPN haben funktioniert. Nach einem Update auf LENNY musste ich meine Tertifikate erneuern, da diese noch auf md5 basierten. Ich habe gestern dazu neue ca.key/ca.crt erstellt (In der openssl.cnf wurde als md sha1 gewählt), und mit dieser dann die Zertifikate ldap.key/ldap.crt und vpn.key/vpn.crt ausgestellt.
Leider funktioniert die Client Einwahl bei VPN nicht (Hier kommt immer ein VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=DE/ST=NAME/L=NAME/O=NAME/OU=NAME/CN=root@server/noreply@NAME) und slapd startet mit den angegeben Zertifikaten erst gar nicht (Fehler: main: TLS init def ctx failed: -1 in der syslog)
LDAP:
Anscheinent arbeitet Openldap 2.4 nur noch mit GnuTLS zusammen (kann mir das jemand bestätigen? Nirgendwo les ich hier was Definitives).
Heisst das nun dass ich einmal Zertifikate mit GnuTLS austellen muss für LDAP und das andere Mal mit OpenSSL arbeiten muss für OpenVPN? Oder reicht es GnuTLS zu installieren (Ist bei mir noch nicht), und dennoch die selben CA&Server Zertifikate zu werwenden.
Ich habe ausserdem folgendes gelesen:
Mein mit OpenVPN erstelltes ca.crt ist allerdings verschlüsselt. Ich frage mich da wirklich nach dem Sinn des Umstieges auf gnuTLS?another catch I have found is that gnutls doesn't support encrypted
private keys! I find this to be a pain, why use a private key if you
can't encrypt it - which is why I compile my own ldap libraries against
openssl
OpenVPN:
Es erscheint zwar WARNING: No server certificate verification method has been enabled, da hier im Zertifikat keine Adresse angegeben wurde. Aber das war bei den alten Zertifikaten genauso und hat nie Probleme verursacht. Ich verwende das gleiche ca.crt (welches mit rsa 256 verschlüsselt wurde) wie für LDAP.
Das ganze Thema wird umso verwirrender umso länger man sucht. Ich hoffe unter euch sind einge die mit dem Umstieg auf Lenny schon etwas mehr Erfahrungen haben als ich.
