[sisyphus] Apache2 + mod_ssl клиентские ключи

Дмитрий Дегтярев ddv на nevod.ru
Пт Май 7 10:41:38 UTC 2010


Добрый день!

Стал настраивать вход https по сертификатам.
Ключ клиента сервер подтверждает, но возникает ошибка
Re-negotiation handshake failed: Not accepted by client!?

Нагуглил вот что:
forum.lissyara.su/viewtopic.php?f=3&t=22420 
<http://forum.lissyara.su/viewtopic.php?f=3&t=22420>

данный патч есть*
7 ноября 2009 Evgeny Sinelnikov <sin at altlinux.ru> 0.9.8l-alt1*

    * Updated to new 0.9.8l includes security fixes and improvements
    * Includes CVE-2009-3555


В нём ли причина? Или я что то не так настроил?

Конфиг:
<IfModule mod_ssl.c>
<VirtualHost *:443>
         ServerName                              domain.ru
         ServerAlias                             www.domain.ru
         ServerAlias pspo.ics.perm.ru
         ServerAlias perm.linux.armd.ru
         ServerAdmin                             ddv на nevod.ru
         DocumentRoot                            /var/www/html/phpPgAdmin
         ErrorLog                                   
/var/log/httpd2/phpPgAdmin-error.log
         TransferLog                             
/var/log/httpd2/phpPgAdmin-access.log
         CustomLog                               
/var/log/httpd2/phpPgAdmin-access.log combined

         SSLEngine On
         SSLProtocol -all +TLSv1 +SSLv3
         SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

         SSLCertificateFile                      
/etc/httpd2/conf/ssl/keys/server.crt
         SSLCertificateKeyFile                   
/etc/httpd2/conf/ssl/keys/server.key
         SSLCertificateChainFile                 
/etc/httpd2/conf/ssl/keys/ca.crt

         SSLCACertificatePath                    /etc/httpd2/conf/ssl/keys/
         SSLCACertificateFile                    
/etc/httpd2/conf/ssl/keys/ca.crt

<Location />
                 SSLRequireSSL

                 SSLVerifyClient require
                 SSLVerifyDepth 1

                 SSLOptions +StdEnvVars +StrictRequire +OptRenegotiate
</Location>

</VirtualHost>
</IfModule>

Проверка клиентского ключа:
openssl s_client -host localhost -port 443 -CAfile client.crt
CONNECTED(00000003)
depth=1 /C=RU/ST=Permskiy 
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
  0 s:/C=RU/ST=Permskiy 
Kray/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
    i:/C=RU/ST=Permskiy 
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
  1 s:/C=RU/ST=Permskiy 
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
    i:/C=RU/ST=Permskiy 
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
---
Server certificate
-----BEGIN CERTIFICATE-----
Тело сертификата
-----END CERTIFICATE-----
subject=/C=RU/ST=Permskiy 
Kray/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
issuer=/C=RU/ST=Permskiy 
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
---
No client certificate CA names sent
---
SSL handshake has read 6918 bytes and written 322 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 8192 bit
Compression: NONE
Expansion: NONE
SSL-Session:
     Protocol  : TLSv1
     Cipher    : DHE-RSA-AES256-SHA
     Session-ID:
     Session-ID-ctx:
     Master-Key: 
CD18ED97DDA3C0C4D15D8C83217970CF28A4FD35146AED707C45668DBB91DA89A0A64B6876476CB9795AFA973E5F6284
     Key-Arg   : None
     Krb5 Principal: None
     Start Time: 1273226520
     Timeout   : 300 (sec)
     Verify return code: 19 (self signed certificate in certificate chain)
---

read:errno=0

-- 
С уважением, Дегтярев Дмитрий
инженер-программист ООО "Невод" г. Пермь
web: http://nevod.ru
тел: (342) 2 196 960
e-mail: ddv на nevod.ru
JID: ddv на nevod.ru
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sisyphus/attachments/20100507/f33db88d/attachment-0001.html>


Подробная информация о списке рассылки Sisyphus