내 RedHat 8.4 서버에서 AD에 가입한 후 sssd 프로세스를 시작하면 다음과 같은 오류 메시지가 표시됩니다.
sssd[be[XXX.XXX.XXX]][23324]: Could not start TLS encryption. error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed (EE certificate key too weak)
SSD 구성 파일은 다음과 같습니다.
domains = XXX.XXX.XXX
config_file_version = 2
services = nss, pam
[domain/XXX.XXX.XXX]
ad_enable_gc = False
ad_use_ldaps = True
dns_resolver_timeout = 15 .
ldap_network_timeout = 15
ad_domain = XXX.XXX.XXX
dyndns_update = false
krb5_realm = XXX.XXX.XXX
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = simple
debug_level = 2
[nss]
#debug_level = 9
[pam]
#debug_level = 9
이 오류 메시지를 지우는 방법은 무엇입니까?
감사해요
답변1
귀하의 시스템은 기본적으로 또는 정책을 통해 특정 수준의 TLS 보안을 요구하도록 구성되어 있습니다. 일반적으로 이 보안 수준은 112비트 또는 128비트입니다. 이 메시지는 원격 서버의 인증서가 너무 약하고 키가 더 커야 함을 의미합니다(112비트 보안 수준의 경우 2048비트, 128비트 보안 수준의 경우 3072비트).
이 메시지는 프록시나 일부 유형의 TLS 미들박스를 사용하는 경우에도 나타날 수 있습니다. 해당 키가 너무 작을 수 있기 때문입니다.
일반적으로 연결하려는 서버가 256비트 이상의 ECDSA 키 또는 3072비트 이상의 RSA 키를 사용하는지 확인하여 이 문제를 해결해야 합니다. 둘 다 현재 허용되는 가장 낮은 보안 수준인 128비트 보안 수준을 제공합니다.
문제가 TLS 미들박스인 경우 이를 네트워크에서 제거해야 합니다. 여기에는 보안 취약성을 초래하고 모든 종류의 소프트웨어를 손상시킬 수 있는 버그가 포함되어 있는 경우가 많습니다.
보안 설정을 피할 수 없는 경우에만 변경해야 합니다.이 ServerFault 답변에 설명되어 있습니다..