การกำหนดค่าการจำลองแบบหลัก / ทาสของ openldap ส่งคืนข้อผิดพลาด TLS จากสลาฟ

ฉันกำลังพยายามเพิ่มการจำลองแบบที่ปลอดภัยของ TLS ระหว่างเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์ ldap รอง การจำลองแบบที่ไม่มี TLS ทำงานได้ดี

ฉันพบข้อผิดพลาดนี้จากทาส: Slapd_client_connect: URI=ldap://master.domain.com เกิดข้อผิดพลาด ldap_start_tls ล้มเหลว (-11)

นี่คือการกำหนดค่าของฉัน:

----- ผู้เชี่ยวชาญ -----
/etc/ldap/ldap.conf
  URI ldap://master.domain.com/
  TLS_CACERT /etc/ssl/cacert.pem
  ความต้องการ TLS_REQCERT

/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCertificateKeyFile: /etc/ssl/master-key.pem
  olcTLSCertificateFile: /etc/ssl/master-cert.pem

----- ทาส -----
/etc/ldap/ldap.conf
  URI ldap://slave.domain.com/
  TLS_CACERT /etc/ssl/cacert.pem
  ความต้องการ TLS_REQCERT

/etc/ldap/slapd.d/cn=config.ldif
  olcTLSCertificateKeyFile: /etc/ssl/slave-key.pem
  olcTLSCertificateFile: /etc/ssl/slave-cert.pem

/etc/ldap/slapd.d/cn=config/olcDatabase{1}mdb.ldif
  olcSyncrepl: rid=001, provider=ldap://master.domain.com binddn="cn=readonly,ou=users,dc=master,dc=domain,dc=com" bindmethod=simple credentials="mypass" searchbase= "dc=master,dc=domain,dc=com" type=refreshAndPersist timeout=0 network-timeout=0 retry="60 +" starttls=critical tls_reqcert=demand

นี่คือสิ่งที่ฉันตรวจสอบ / ลองแล้ว:

• ใบรับรองบนเซิร์ฟเวอร์ทั้งสองเป็นของผู้ใช้ openldap
• ลายนิ้วมือของ cacert.pem บนเซิร์ฟเวอร์ทั้งสองเหมือนกัน
• วันหมดอายุของใบรับรองเป็นสิ่งที่ดี
• cn ใน cacert.pem เท่ากับ cn ของเซิร์ฟเวอร์หลัก
• สเลฟสามารถใช้คำสั่งต่อไปนี้เพื่อค้นหามาสเตอร์: ldapsearch -ZZ -x -H master.domain.com -b "ou=groups,dc=master,dc=domain,dc=com"
• เปลี่ยนทาส olcTLS ค่าที่จะใช้ใบรับรองหลัก
• โดยใช้ ldaps:// แทน ldap:// + starttls (ldapsearch -ZZ -H ldaps:// กำลังทำงาน)

หลังจากการค้นคว้าทางอินเทอร์เน็ต มันมักจะพูดถึงใบรับรอง CA (ไม่ว่าจะเป็น cn ในนั้น เจ้าของไฟล์ ...) แต่ฉันได้ตรวจสอบกรณีเหล่านี้แล้ว

คุณมีความคิดว่าปัญหามาจากไหน ?