[sisyphus] Apache2 + mod_ssl клиентские ключи
Дмитрий Дегтярев
ddv на nevod.ru
Пт Май 14 09:32:49 UTC 2010
07.05.2010 16:41, Дмитрий Дегтярев пишет:
> Добрый день!
>
> Стал настраивать вход https по сертификатам.
> Ключ клиента сервер подтверждает, но возникает ошибка
> Re-negotiation handshake failed: Not accepted by client!?
>
> Нагуглил вот что:
> forum.lissyara.su/viewtopic.php?f=3&t=22420
> <http://forum.lissyara.su/viewtopic.php?f=3&t=22420>
>
> данный патч есть*
> 7 ноября 2009 Evgeny Sinelnikov <sin at altlinux.ru> 0.9.8l-alt1*
>
> * Updated to new 0.9.8l includes security fixes and improvements
> * Includes CVE-2009-3555
>
>
> В нём ли причина? Или я что то не так настроил?
>
> Конфиг:
> <IfModule mod_ssl.c>
> <VirtualHost *:443>
> ServerName domain.ru
> ServerAlias www.domain.ru
> ServerAlias pspo.ics.perm.ru
> ServerAlias perm.linux.armd.ru
> ServerAdmin ddv на nevod.ru
> DocumentRoot /var/www/html/phpPgAdmin
> ErrorLog
> /var/log/httpd2/phpPgAdmin-error.log
> TransferLog
> /var/log/httpd2/phpPgAdmin-access.log
> CustomLog
> /var/log/httpd2/phpPgAdmin-access.log combined
>
> SSLEngine On
> SSLProtocol -all +TLSv1 +SSLv3
> SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
>
> SSLCertificateFile
> /etc/httpd2/conf/ssl/keys/server.crt
> SSLCertificateKeyFile
> /etc/httpd2/conf/ssl/keys/server.key
> SSLCertificateChainFile
> /etc/httpd2/conf/ssl/keys/ca.crt
>
> SSLCACertificatePath /etc/httpd2/conf/ssl/keys/
> SSLCACertificateFile
> /etc/httpd2/conf/ssl/keys/ca.crt
>
> <Location />
> SSLRequireSSL
>
> SSLVerifyClient require
> SSLVerifyDepth 1
>
> SSLOptions +StdEnvVars +StrictRequire +OptRenegotiate
> </Location>
>
> </VirtualHost>
> </IfModule>
>
> Проверка клиентского ключа:
> openssl s_client -host localhost -port 443 -CAfile client.crt
> CONNECTED(00000003)
> depth=1 /C=RU/ST=Permskiy
> Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
> verify error:num=19:self signed certificate in certificate chain
> verify return:0
> ---
> Certificate chain
> 0 s:/C=RU/ST=Permskiy
> Kray/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
> i:/C=RU/ST=Permskiy
> Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
> 1 s:/C=RU/ST=Permskiy
> Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
> i:/C=RU/ST=Permskiy
> Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
> ---
> Server certificate
> -----BEGIN CERTIFICATE-----
> Тело сертификата
> -----END CERTIFICATE-----
> subject=/C=RU/ST=Permskiy
> Kray/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
> issuer=/C=RU/ST=Permskiy
> Kray/L=Vereschagino/O=COMPANY/CN=domain.ru/emailAddress=info на domain.ru
> ---
> No client certificate CA names sent
> ---
> SSL handshake has read 6918 bytes and written 322 bytes
> ---
> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
> Server public key is 8192 bit
> Compression: NONE
> Expansion: NONE
> SSL-Session:
> Protocol : TLSv1
> Cipher : DHE-RSA-AES256-SHA
> Session-ID:
> Session-ID-ctx:
> Master-Key:
> CD18ED97DDA3C0C4D15D8C83217970CF28A4FD35146AED707C45668DBB91DA89A0A64B6876476CB9795AFA973E5F6284
> Key-Arg : None
> Krb5 Principal: None
> Start Time: 1273226520
> Timeout : 300 (sec)
> Verify return code: 19 (self signed certificate in certificate chain)
> ---
>
> read:errno=0
>
патч появился 7 ноября 2009. взял пакеты из архива от 5 ноября 2009. Всё
заработало. Вешать багу?
--
С уважением, Дегтярев Дмитрий
инженер-программист ООО "Невод" г. Пермь
web: http://nevod.ru
тел: (342) 2 196 960
e-mail: ddv на nevod.ru
JID: ddv на nevod.ru
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sisyphus/attachments/20100514/4a655cf6/attachment-0001.html>
Подробная информация о списке рассылки Sisyphus