OpenLDAP et Let's Encrypt

Préparation

adduser openldap ssl-cert
chgrp ssl-cert /etc/letsencrypt/archive/ /etc/letsencrypt/live/
chmod g+rx /etc/letsencrypt/archive/ /etc/letsencrypt/live/
find /etc/letsencrypt/archive/ -name privkey*.pem -exec chown root:ssl-cert \{\} \; -exec chmod g+r \{\} \;
service slapd stop ; service slapd start # Pour application de l'ajout du groupe

La commande find est a lancer après chaque renouvellement du certificat.

Configuration

Créer le fichier LDIF /tmp/ssl.ldif :

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/letsencrypt/live/CERT/chain.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/letsencrypt/live/CERT/cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/letsencrypt/live/CERT/privkey.pem
-

Appliquer la modification :

ldapmodify -h 127.0.0.1 -D cn=admin,cn=config -W -f /tmp/ssl.ldif
# OR :
ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/ssl.ldif

Optionnel : Pour activer le LDAPS, éditer le fichier /etc/default/slapd et ajouter ldaps:/// à la variable SLAPD_SERVICES.