如何续订过期的Ubuntu OpenLDAP SSL证书

我们完成了撤销我们的OpenLDAP服务器使用的SSL证书并更新它的步骤,但我们无法启动slapd.

以下是我们使用的命令:

  openssl verify hostname_domain_com_cert.pem

我们回来证明证书已过期,但“确定”

我们撤销了我们一直使用的证书:

  openssl ca -revoke /etc/ssl/certs/hostname_domain_com_cert.pem

撤销工作正常.

我们通过将密钥文件作为输入传递来创建新的证书请求:

  openssl req -new -key hostname_domain_com_key.pem -out newreq.pem

我们使用新创建的请求文件“newreq.pem”生成了新证书

  openssl ca  -policy policy_anything -out newcert.pem -infiles newreq.pem

我们查看了我们的cn = config.ldif文件,找到了密钥和证书的位置,并将新日期的证书放在所需的路径中.

仍然我们无法启动slapd:

  service slapd start

我们收到此消息:

Starting OpenLDAP: slapd - Failed.
The operation Failed but no output was produced. For hints on what went
wrong please refer to the system's logfiles (e.g. /var/log/syslog) or
try running the daemon in Debug mode like via "slapd -d 16383" (warning:
this will create copIoUs output).

Below,you can find the command line options used by this script to
run slapd. Do not forget to specify those options if you
want to look to debugging output:
  slapd -h 'ldap:/// ldapi:/// ldaps:///' -g openldap -u openldap -F /etc/ldap/slapd.d/

这是我们在/ var / log / syslog中找到的内容

Oct 23 20:18:25 ldap1 slapd[2710]: @(#) $OpenLDAP: slapd 2.4.21 (Dec 19 2011 15:40:04) $#012#011buildd@allspice:/build/buildd/openldap-2.4.21/debian/build/servers/slapd
Oct 23 20:18:25 ldap1 slapd[2710]: main: TLS init def ctx Failed: -1
Oct 23 20:18:25 ldap1 slapd[2710]: slapd stopped.
Oct 23 20:18:25 ldap1 slapd[2710]: connections_destroy: nothing to destroy.

生成新的ldap1密钥/证书对之后,我们每当我们尝试启动slapd时都会得到它

Oct 24 08:38:12 ldap1 slapd[5461]: @(#) $OpenLDAP: slapd 2.4.21 (Dec 19 2011 15:40:04) $#012#011buildd@allspice:/build/buildd/openldap-2.4.21/debian/build/servers/slapd
Oct 24 08:38:12 ldap1 slapd[5463]: hdb_db_open: database "cn=accesslog" cannot be opened,err 13. Restore from backup!
Oct 24 08:38:12 ldap1 slapd[5463]: bdb(cn=accesslog): txn_checkpoint interface requires an environment configured for the transaction subsystem
Oct 24 08:38:12 ldap1 slapd[5463]: bdb_db_close: database "cn=accesslog": txn_checkpoint Failed: Invalid argument (22).
Oct 24 08:38:12 ldap1 slapd[5463]: backend_startup_one (type=hdb,suffix="cn=accesslog"): bi_db_open Failed! (13)
Oct 24 08:38:13 ldap1 slapd[5463]: bdb_db_close: database "cn=accesslog": alock_close Failed
Oct 24 08:38:13 ldap1 slapd[5463]: slapd stopped.

我们应该尝试从备份中恢复ldap吗?

这里有一些可能性.

新证书是否真的对颁发的CA证书有效且可验证?

在OpenLDAP配置中,属性olctlscacertificatefile的值是多少?在您的情况下,它应指向您的根CA证书,即签署服务器证书的证书.但是,正确的值是/etc/ssl/certs/ca-certificates.crt,其中包含所有可信CA证书的连接.有关详细信息,请参见此处:http://manpages.ubuntu.com/manpages/precise/man8/update-ca-certificates.8.html

它还可以指示权限问题. openldap用户可以读取密钥和证书(以及父路径)吗?密钥和证书的路径是否AppArmor不抱怨?检查/var/log/kern.log以获取指示slapd尝试读取AppArmor允许的路径之外的文件的消息.

编辑:根据您更新的问题,这似乎与原始问题无关,看起来您要么搞砸/ var / lib / ldap中的权限,要么您真的设法破坏/ var / lib /中的一个或多个文件LDAP.我说从备份恢复.

相关文章

1.安装过程出现0x00000000指令引用的0x00000000内存该内存不能为written 如果你安装的是inux系统 需要在...
写在全面:如果根据以下教程涉及到只读文件需要更改文件权限才能需修改文件内容,参考我的另一篇博客:...
写在前面:以下步骤中需要在终端输入命令,电脑端查看博客的朋友可以直接复制粘贴到终端,手机端查看的...
ubuntu16.04和18.04更换国内源 写在前面:安装好ubuntu双系统后,默认的软件更新源是国外的,在国内使用...
ubuntu双系统启动时卡死解决办法(在ubuntu16.04和18.04测试无误) 问题描述: 在安装完ubuntu双系统后...
又来造轮子了。。。。。。。。。。。。。。。。 今天使用w3af向文件中写入的时候,发现没有write权限,...