Bonjour !!
 
Voila je suis entrain de mettre en place un serveur LDAP pour remplacer du NIS.
Je suis pour l'instant sur la partie sécurité du serveur LDAP. Je voudrais utiliser du TLS pour la communication entre le client et le serveur pour que les mots de passe ne passe plus en clair sur le réseau.
Donc apparemment il faut utiliser TLS/SSL. C'est ce que j'ai fait.
Donc pour l'instant j'ai crée une clé privée pour le serveur (serverkey.pem) et généré un certificat pour le serveur ( servercert.pem) Apres j'ai crée une clé privé CA ( cakey.pem) et  un Certificat CA ( Authority Certification) autosigné (cacert.pem). Puis apres je signe le certificat du serveur (servercert.pem) par le certificat CA et sa clé privé ( ca.key et cacert.pem ) tout se passe bien, mais quand je verifie avec la commande "openssl verify servercert.pem"  j'ai une erreur :

error 20 at 0 depth lookup:unable to get local issuer certificate
 
Donc voila, si vous pouvez m'aider et me dire d'ou vient l'erreur car j'ai cherché mais je comprend rien.
 
Merci d'avance.
 

.....Si le certificat racine d'autorité de certification, ayant servi à signer un certificat utilisateur est absent, ce certificat utilisateur ne sera pas authentifié
 
 
error 20 at 0 depth lookup:unable to get local issuer certificate  
 
......
 
 
 
source: http://www.com.univ-mrs.fr/ssc/inf [...] smime.html

Oui, sauf que le certificat racine, qui est ici cacert.pem, et qui a signé servercert.pem est présent...  
 
Voici la commande pour signer :
 
> " openssl x509 -req -in servercert.req -out servercert.pem -CA cacert.pem -CAkey cakey.pem -days 365 -CAcreateserial "
 
Signature ok
subject=/C=fr/ST=centre/L=orleans/O=cnrs-orleans/OU=lpce/CN=ldapserver.cnrs-orleans.fr
Getting CA Private Key  
 
 
Donc il me met que la signature est ok... par contre "Getting CA Private Key" J'ai pas compris ce que ce voulais dire...est ce qu'il attend quelquechose ??
 
En tout cas, en verfiant le certificat signé avec openssl verify j'ai :
 
" error 20 at 0 depth lookup:unable to get local issuer certificate
"  

openssl verify [-CApath directory] [-CAfile file] [-purpose purpose] [-untrusted file] [-help] [-issuer_checks] [-verbose] [-] [certificates]
 
tu as bien mis les paramètres -CApath et -CAfile dans ta ligne de commande "openssl verify ....."   ?

Bon ben ca marche en verifiant avec l'option CAFile mais par contre sur LDAP ca ne marche pas.  Je fais un ldapsearch avec l'option -ZZ ou -Z pour forcer le TLS mais ca me met :
 
ldap_start_tls: Connect error (-11)
        additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
 
Je ne comprend pas, pourtant le certificat est verifié manuellement...

d'après l'erreur, il semble que la vérification du certificat du serveur n'aboutisse pas. Tu as du oublier de renseigner le certificat CA dans un  des fichiers de conf.

Je ne pense pas car au niveau du serveur (slapd.conf) j'ai mis :
 
TLSCertificateFile              /etc/ldap/cert/servercert.pem
TLSCertificateKeyFile           /etc/ldap/cert/serverkey.pem
TLSCACertificateFile            /etc/ldap/cert/cacert.pem
 
Et au niveau du client (ldap.conf) j'ai mis ça :  
 
#Directive SSL OpenSSL
TLS_CACERT  /etc/ldap/cert/cacert.pem
 
#Directive SSL libnss et libpam
ssl start_tls
tls_checkpeer yes
tls_cacertfile  /etc/ldap/cert/cacert.pem
 
Et j'ai bien fait une copie du certificat du CA (cacert.pem) dans la machine cliente.
 
Voila, c'est bizarre...

J'ai reussi à verifier les certificats...je travaillais sur une machine virtuelle pour le client, et il y avait un probleme de synchronisation du temps.
Or j'ai un autre probleme. OK, le TLS marche, en fesant un ldapsearch -b "mabase" -x -ZZ "objectClass=*" , la liaison est crypté...mais comment fais  t on pour le mettre par defaut l'option ? en effet, si je fais de l'authentification via LDAP, je ne ne pourrais pas forcer l'option -ZZ car je serais devant une invite de commande pour me logguer.