Некоторые шифры, используемые в TLS/SSL, со временем признаются ненадёжными и отключаются в стандартной конфигурации OpenSSL. В результате возникают проблемы при взаимодействии со старыми серверами/клиентами. В частности OpenLDAP-клиент в CentOS 8 и старше не может получить доступ по SSL к серверам АД Windows 2012 R2 и младше.
Чтобы включить поддержку старых алгоритмов шифрования в OpenSSL (а также в GnuTLS, OpenSSH, BIND, Jav JDK и т.д.) надо выполнить команду
update-crypto-policies --set LEGACY
update-crypto-policies — это python-скрипт, который редактирует конфигурационные файлы следующих программ и библиотек:
update-crypto-policies доступен в CentOS и в Ubuntu.