介绍：

当使用LDAP（轻型目录访问协议）连接到LDAP服务器时，有时候需要在没有安全连接的情况下建立安全连接。LDAP StartTLS操作可以使已建立的普通LDAP连接升级为安全连接。但是有时您可能会遇到 ldap_start_tls：操作错误（1）附加信息：SSL连接已建立 错误，这个错误表示StartTLS操作已经成功建立了一个安全连接，但是在连接LDAP服务器时出现了一些错误，操作失败。

可能的原因：

• LDAP服务器需要客户端提供CA证书。
• LDAP服务器不支持安全连接。
• LDAP服务器配置错误。

解决方案：

1. 检查CA证书是否正确：

使用OpenSSL命令检查证书是否正确，例如:

openssl s_client -connect hostname:port -starttls ldap -showcerts

在返回的证书列表中，检查CA证书是否是您的信任(certificates are verified against a trusted root). 如果证书不是您的信任，则需要在客户端上安装正确的CA证书。

2. 确认LDAP服务器支持安全连接：

在命令行上执行以下命令来检查LDAP服务器是否支持StartTLS操作：

openssl s_client -connect hostname:port -starttls ldap

如果连接成功，这表明LDAP服务器支持StartTLS操作。

3. 检查LDAP服务器配置：

确认LDAP服务器的TLS配置是否正确。检查以下配置:

• TLS_CACERT
• TLS_CERT
• TLS_KEY

如果您不确定如何配置LDAP服务器，请参阅LDAP服务器的文档或联系LDAP服务管理员。

结论：

在使用LDAP连接时，通过StartTLS操作升级安全连接是很常见的做法，在出现错误时，通过以上几种方法可以找到问题并解决它。