
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

07.05.2010 16:41, Дмитрий Дегтярев пишет:

<blockquote cite="mid:4BE3EE62.5020902@nevod.ru" type="cite">

  <meta http-equiv="content-type" content="text/html; charset=UTF-8">

Добрый день!<br>

  <br>

Стал настраивать вход https по сертификатам.<br>

Ключ клиента сервер подтверждает, но возникает ошибка<br>

Re-negotiation handshake failed: Not accepted by client!?<br>

  <br>

  <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  <span class="Apple-style-span"

 style="border-collapse: separate; color: rgb(83, 100, 130); font-family: 'Times New Roman'; font-size: 16px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px;"><span

 class="Apple-style-span"

 style="color: rgb(51, 51, 51); font-family: 'Lucida Grande','Trebuchet MS',Verdana,Helvetica,Arial,sans-serif; font-size: 12px; line-height: 18px;"></span></span>Нагуглил

вот

что:<br>

  <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  <a moz-do-not-send="true"

 href="http://forum.lissyara.su/viewtopic.php?f=3&amp;t=22420">forum.lissyara.su/viewtopic.php?f=3&amp;t=22420</a><br>

  <br>

данный патч есть<b><br>

7 ноября 2009 Evgeny Sinelnikov &lt;sin at altlinux.ru&gt; 0.9.8l-alt1</b><span

 class="Apple-converted-space"> </span><br>

  <span class="Apple-style-span"

 style="border-collapse: separate; color: rgb(0, 0, 0); font-family: 'Times New Roman'; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; font-size: medium;"><span

 class="Apple-style-span"

 style="font-family: arial,helvetica,sans-serif; font-size: 12px; text-align: left;">

  <ul class="change"

 style="margin: 0em 0em 0em 1em; padding: 5px; list-style-type: square;">

    <li>Updated to new 0.9.8l includes security fixes and improvements</li>

    <li>Includes CVE-2009-3555</li>

  </ul>

  </span></span><br>

В нём ли причина? Или я что то не так настроил?<br>

  <br>

Конфиг:<br>

&lt;IfModule mod_ssl.c&gt;<br>

&lt;VirtualHost *:443&gt;<br>

        ServerName                              domain.ru<br>

        ServerAlias                             <a

 moz-do-not-send="true" class="moz-txt-link-abbreviated"

 href="http://www.domain.ru">www.domain.ru</a><br>

        ServerAlias pspo.ics.perm.ru<br>

        ServerAlias perm.linux.armd.ru<br>

        ServerAdmin                             <a

 moz-do-not-send="true" class="moz-txt-link-abbreviated"

 href="mailto:ddv@nevod.ru">ddv@nevod.ru</a><br>

        DocumentRoot                            /var/www/html/phpPgAdmin<br>

        ErrorLog                                  

/var/log/httpd2/phpPgAdmin-error.log<br>

        TransferLog                            

/var/log/httpd2/phpPgAdmin-access.log<br>

        CustomLog                              

/var/log/httpd2/phpPgAdmin-access.log combined<br>

  <br>

        SSLEngine On<br>

        SSLProtocol -all +TLSv1 +SSLv3<br>

        SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM<br>

  <br>

        SSLCertificateFile                     

/etc/httpd2/conf/ssl/keys/server.crt<br>

        SSLCertificateKeyFile                  

/etc/httpd2/conf/ssl/keys/server.key<br>

        SSLCertificateChainFile                

/etc/httpd2/conf/ssl/keys/ca.crt<br>

  <br>

        SSLCACertificatePath                   

/etc/httpd2/conf/ssl/keys/<br>

        SSLCACertificateFile                   

/etc/httpd2/conf/ssl/keys/ca.crt<br>

  <br>

        &lt;Location /&gt;<br>

                SSLRequireSSL<br>

  <br>

                SSLVerifyClient require<br>

                SSLVerifyDepth 1<br>

  <br>

                SSLOptions +StdEnvVars +StrictRequire +OptRenegotiate<br>

        &lt;/Location&gt;<br>

  <br>

&lt;/VirtualHost&gt;<br>

&lt;/IfModule&gt;<br>

  <br>

Проверка клиентского ключа:<br>

openssl s_client -host localhost -port 443 -CAfile client.crt <br>

CONNECTED(00000003)<br>

depth=1 /C=RU/ST=Permskiy

  <a moz-do-not-send="true" class="moz-txt-link-abbreviated"

 href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>

verify error:num=19:self signed certificate in certificate chain<br>

verify return:0<br>

---<br>

Certificate chain<br>

 0 s:/C=RU/ST=Permskiy

  <a moz-do-not-send="true" class="moz-txt-link-abbreviated"

 href="mailto:Kray/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>

   i:/C=RU/ST=Permskiy

  <a moz-do-not-send="true" class="moz-txt-link-abbreviated"

 href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>

 1 s:/C=RU/ST=Permskiy

  <a moz-do-not-send="true" class="moz-txt-link-abbreviated"

 href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>

   i:/C=RU/ST=Permskiy

  <a moz-do-not-send="true" class="moz-txt-link-abbreviated"

 href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>

---<br>

Server certificate<br>

-----BEGIN CERTIFICATE-----<br>

Тело сертификата<br>

-----END CERTIFICATE-----<br>

subject=/C=RU/ST=Permskiy

  <a moz-do-not-send="true" class="moz-txt-link-abbreviated"

 href="mailto:Kray/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>

issuer=/C=RU/ST=Permskiy

  <a moz-do-not-send="true" class="moz-txt-link-abbreviated"

 href="mailto:Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru">Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info@domain.ru</a><br>

---<br>

No client certificate CA names sent<br>

---<br>

SSL handshake has read 6918 bytes and written 322 bytes<br>

---<br>

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA<br>

Server public key is 8192 bit<br>

Compression: NONE<br>

Expansion: NONE<br>

SSL-Session:<br>

    Protocol  : TLSv1<br>

    Cipher    : DHE-RSA-AES256-SHA<br>

    Session-ID: <br>

    Session-ID-ctx: <br>

    Master-Key:

CD18ED97DDA3C0C4D15D8C83217970CF28A4FD35146AED707C45668DBB91DA89A0A64B6876476CB9795AFA973E5F6284<br>

    Key-Arg   : None<br>

    Krb5 Principal: None<br>

    Start Time: 1273226520<br>

    Timeout   : 300 (sec)<br>

    Verify return code: 19 (self signed certificate in certificate

chain)<br>

---<br>

  <br>

read:errno=0<br>

  <br>

</blockquote>

патч появился 7 ноября 2009. взял пакеты из архива от 5 ноября 2009.

Всё заработало. Вешать багу?<br>

<br>

<div class="moz-signature">-- <br>

С уважением, Дегтярев Дмитрий<br>

инженер-программист ООО "Невод" г. Пермь<br>

web: <a href="http://nevod.ru">http://nevod.ru</a><br>

тел: (342) 2 196 960<br>

e-mail: <a class="moz-txt-link-abbreviated" href="mailto:ddv@nevod.ru">ddv@nevod.ru</a><br>

JID: <a class="moz-txt-link-abbreviated" href="mailto:ddv@nevod.ru">ddv@nevod.ru</a></div>

</body>

</html>