[sisyphus] OpenLDAP плюс TLS. Глюк.

[Alexey Borovskoy]

Добрый вечер.

Исходные данные:
openldap-servers-2.1.26-alt3.1
openldap-clients-2.1.26-alt3.1
openldap-2.1.26-alt3.1
openssl-0.9.6m-alt1

Не могу понять как запустить TLS. Создал CA, создал запрос на 
сертификат сервера, подписал запрос. Получил: CA Cert, Server 
Cert, Server Key.

openssl verify и openssl s_server + openssl s_client ничего 
странного не замечают.

Делаю cat CA Cert  Server Cert  Server Key >slapd.pem, который 
кладу вместо сгенеренного автоматически при установке пакета (с 
ним тоже не работает). Здесь без разницы, можно и россыпью - все 
равно не работает.

Раскомментирую TLSCipherSuite, TLSCertificateFile, 
TLSCertificateKeyFile, TLSCACertificateFile

При запуске сервера получаю мину:
# slapd -d 5 -h 'ldap://alb.home ldaps://alb.home'
>>> dnNormalize: <cn=Subschema>
<<< dnNormalize: <cn=subschema>

TRANSPORT:: ldap_pvt_tls_init_def_ctx: TLS private key mismatch.

TRANSPORT:: tls_report_error: TLS error:0B080074:x509 certificate 
routines:X509_check_private_key:key values mismatch 
x509_cmp.c:383

TRANSPORT:: tls_report_error: TLS error:140A80BE:SSL 
routines:SSL_CTX_check_private_key:no private key assigned 
ssl_lib.c:670

SLAPD:: main: tls init def ctx failed: -1

SLAPD:: main: slapd stopped.

Если вместо CA Cert подсунуть Server Cert (как прокатывало в 
2.0.x), то сервер запускается но клиентов не пускает и говорит 
что не может проверить сертификат.

Что я делаю не так? Что нужно подкрутить чтобы эта конструкция 
заработала?

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: signature
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20040507/b5a60cb9/attachment-0003.bin>