さらにldap環境変更中. SSL/TLS化を推し進める. 特に難しいところはなく、TLS関連の記述をslapd.confに追加する.

TLSCACertificatePath /usr/local/etc/cacert
TLSCertificateFile   /usr/local/etc/openldap/ldapcert.pem
TLSCertificateKeyFile /usr/local/etc/openldap/ldap_rsakey.pem  w/ 600
TLSCipherSuite HIGH:SSLv2

で、それぞれファイル置いて、c_rehashして起動してldapsearchするも何故かエラー. -dでログ出すと、あ、サーバ証明書期限切れ... 確かにちょち昔のだった. あわてて作成しなおす. と、またエラーになる. hostnameが証明書のCNと一致してないと出る. CNがfqdnでhostnameがfqdnになってないと出力.hostnameの結果はfqdnのはずと思ってちょち考えると、/etc/hostsにIPaddressに対するエントリがhost名だけのがfqdnより先に書いてあった. おそらくこれが原因だろうとfqdnを先にすると無事接続できた.