<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
07.05.2010 16:41, Дмитрий Дегтярев пишет:
<blockquote cite="mid:4BE3EE62.5020902@nevod.ru" type="cite">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
Добрый день!<br>
<br>
Стал настраивать вход https по сертификатам.<br>
Ключ клиента сервер подтверждает, но возникает ошибка<br>
Re-negotiation handshake failed: Not accepted by client!?<br>
<br>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<span class="Apple-style-span"
style="border-collapse: separate; color: rgb(83, 100, 130); font-family: 'Times New Roman'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px;"><span
class="Apple-style-span"
style="color: rgb(51, 51, 51); font-family: 'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif; font-size: 12px; line-height: 18px;"></span></span>Нагуглил
вот
что:<br>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<a moz-do-not-send="true"
href="http://forum.lissyara.su/viewtopic.php?f=3&t=22420">forum.lissyara.su/viewtopic.php?f=3&t=22420</a><br>
<br>
данный патч есть<b><br>
7 ноября 2009 Evgeny Sinelnikov <sin at altlinux.ru> 0.9.8l-alt1</b><span
class="Apple-converted-space"> </span><br>
<span class="Apple-style-span"
style="border-collapse: separate; color: rgb(0, 0, 0); font-family: 'Times New Roman'; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; font-size: medium;"><span
class="Apple-style-span"
style="font-family: arial,helvetica,sans-serif; font-size: 12px; text-align: left;">
<ul class="change"
style="margin: 0em 0em 0em 1em; padding: 5px; list-style-type: square;">
<li>Updated to new 0.9.8l includes security fixes and improvements</li>
<li>Includes CVE-2009-3555</li>
</ul>
</span></span><br>
В нём ли причина? Или я что то не так настроил?<br>
<br>
Конфиг:<br>
<IfModule mod_ssl.c><br>
<VirtualHost *:443><br>
ServerName domain.ru<br>
ServerAlias <a
moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="http://www.domain.ru">www.domain.ru</a><br>
ServerAlias pspo.ics.perm.ru<br>
ServerAlias perm.linux.armd.ru<br>
ServerAdmin <a
moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="mailto:ddv@nevod.ru">ddv@nevod.ru</a><br>
DocumentRoot /var/www/html/phpPgAdmin<br>
ErrorLog
/var/log/httpd2/phpPgAdmin-error.log<br>
TransferLog
/var/log/httpd2/phpPgAdmin-access.log<br>
CustomLog
/var/log/httpd2/phpPgAdmin-access.log combined<br>
<br>
SSLEngine On<br>
SSLProtocol -all +TLSv1 +SSLv3<br>
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM<br>
<br>
SSLCertificateFile
/etc/httpd2/conf/ssl/keys/server.crt<br>
SSLCertificateKeyFile
/etc/httpd2/conf/ssl/keys/server.key<br>
SSLCertificateChainFile
/etc/httpd2/conf/ssl/keys/ca.crt<br>
<br>
SSLCACertificatePath
/etc/httpd2/conf/ssl/keys/<br>
SSLCACertificateFile
/etc/httpd2/conf/ssl/keys/ca.crt<br>
<br>
<Location /><br>
SSLRequireSSL<br>
<br>
SSLVerifyClient require<br>
SSLVerifyDepth 1<br>
<br>
SSLOptions +StdEnvVars +StrictRequire +OptRenegotiate<br>
</Location><br>
<br>
</VirtualHost><br>
</IfModule><br>
<br>
Проверка клиентского ключа:<br>
openssl s_client -host localhost -port 443 -CAfile client.crt <br>
CONNECTED(00000003)<br>
depth=1 /C=RU/ST=Permskiy
<a moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>
verify error:num=19:self signed certificate in certificate chain<br>
verify return:0<br>
---<br>
Certificate chain<br>
0 s:/C=RU/ST=Permskiy
<a moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="mailto:Kray/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>
i:/C=RU/ST=Permskiy
<a moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>
1 s:/C=RU/ST=Permskiy
<a moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>
i:/C=RU/ST=Permskiy
<a moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>
---<br>
Server certificate<br>
-----BEGIN CERTIFICATE-----<br>
Тело сертификата<br>
-----END CERTIFICATE-----<br>
subject=/C=RU/ST=Permskiy
<a moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="mailto:Kray/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>
issuer=/C=RU/ST=Permskiy
<a moz-do-not-send="true" class="moz-txt-link-abbreviated"
href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>
---<br>
No client certificate CA names sent<br>
---<br>
SSL handshake has read 6918 bytes and written 322 bytes<br>
---<br>
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA<br>
Server public key is 8192 bit<br>
Compression: NONE<br>
Expansion: NONE<br>
SSL-Session:<br>
Protocol : TLSv1<br>
Cipher : DHE-RSA-AES256-SHA<br>
Session-ID: <br>
Session-ID-ctx: <br>
Master-Key:
CD18ED97DDA3C0C4D15D8C83217970CF28A4FD35146AED707C45668DBB91DA89A0A64B6876476CB9795AFA973E5F6284<br>
Key-Arg : None<br>
Krb5 Principal: None<br>
Start Time: 1273226520<br>
Timeout : 300 (sec)<br>
Verify return code: 19 (self signed certificate in certificate
chain)<br>
---<br>
<br>
read:errno=0<br>
<br>
</blockquote>
патч появился 7 ноября 2009. взял пакеты из архива от 5 ноября 2009.
Всё заработало. Вешать багу?<br>
<br>
<div class="moz-signature">-- <br>
С уважением, Дегтярев Дмитрий<br>
инженер-программист ООО "Невод" г. Пермь<br>
web: <a href="http://nevod.ru">http://nevod.ru</a><br>
тел: (342) 2 196 960<br>
e-mail: <a class="moz-txt-link-abbreviated" href="mailto:ddv@nevod.ru">ddv@nevod.ru</a><br>
JID: <a class="moz-txt-link-abbreviated" href="mailto:ddv@nevod.ru">ddv@nevod.ru</a></div>
</body>
</html>