[sisyphus] Apache2 + mod_ssl клиентские ключи
Дмитрий Дегтярев
ddv на nevod.ru
Пт Май 7 10:41:38 UTC 2010
Добрый день!
Стал настраивать вход https по сертификатам.
Ключ клиента сервер подтверждает, но возникает ошибка
Re-negotiation handshake failed: Not accepted by client!?
Нагуглил вот что:
forum.lissyara.su/viewtopic.php?f=3&t=22420
<http://forum.lissyara.su/viewtopic.php?f=3&t=22420>
данный патч есть*
7 ноября 2009 Evgeny Sinelnikov <sin at altlinux.ru> 0.9.8l-alt1*
* Updated to new 0.9.8l includes security fixes and improvements
* Includes CVE-2009-3555
В нём ли причина? Или я что то не так настроил?
Конфиг:
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerName domain.ru
ServerAlias www.domain.ru
ServerAlias pspo.ics.perm.ru
ServerAlias perm.linux.armd.ru
ServerAdmin ddv на nevod.ru
DocumentRoot /var/www/html/phpPgAdmin
ErrorLog
/var/log/httpd2/phpPgAdmin-error.log
TransferLog
/var/log/httpd2/phpPgAdmin-access.log
CustomLog
/var/log/httpd2/phpPgAdmin-access.log combined
SSLEngine On
SSLProtocol -all +TLSv1 +SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
SSLCertificateFile
/etc/httpd2/conf/ssl/keys/server.crt
SSLCertificateKeyFile
/etc/httpd2/conf/ssl/keys/server.key
SSLCertificateChainFile
/etc/httpd2/conf/ssl/keys/ca.crt
SSLCACertificatePath /etc/httpd2/conf/ssl/keys/
SSLCACertificateFile
/etc/httpd2/conf/ssl/keys/ca.crt
<Location />
SSLRequireSSL
SSLVerifyClient require
SSLVerifyDepth 1
SSLOptions +StdEnvVars +StrictRequire +OptRenegotiate
</Location>
</VirtualHost>
</IfModule>
Проверка клиентского ключа:
openssl s_client -host localhost -port 443 -CAfile client.crt
CONNECTED(00000003)
depth=1 /C=RU/ST=Permskiy
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/C=RU/ST=Permskiy
Kray/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
i:/C=RU/ST=Permskiy
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
1 s:/C=RU/ST=Permskiy
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
i:/C=RU/ST=Permskiy
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
---
Server certificate
-----BEGIN CERTIFICATE-----
Тело сертификата
-----END CERTIFICATE-----
subject=/C=RU/ST=Permskiy
Kray/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
issuer=/C=RU/ST=Permskiy
Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
---
No client certificate CA names sent
---
SSL handshake has read 6918 bytes and written 322 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 8192 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID:
Session-ID-ctx:
Master-Key:
CD18ED97DDA3C0C4D15D8C83217970CF28A4FD35146AED707C45668DBB91DA89A0A64B6876476CB9795AFA973E5F6284
Key-Arg : None
Krb5 Principal: None
Start Time: 1273226520
Timeout : 300 (sec)
Verify return code: 19 (self signed certificate in certificate chain)
---
read:errno=0
--
С уважением, Дегтярев Дмитрий
инженер-программист ООО "Невод" г. Пермь
web: http://nevod.ru
тел: (342) 2 196 960
e-mail: ddv на nevod.ru
JID: ddv на nevod.ru
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sisyphus/attachments/20100507/f33db88d/attachment-0001.html>
Подробная информация о списке рассылки Sisyphus