[sisyphus] Apache2 + mod_ssl клиентские ключи

Vladislav Zavjalov slazav на altlinux.org
Пт Май 14 10:24:49 UTC 2010


On Fri, May 14, 2010 at 04:09:20PM +0600, Дмитрий Дегтярев wrote:
> 14.05.2010 15:58, Vladislav Zavjalov пишет:
> >On Fri, May 14, 2010 at 03:32:49PM +0600, Дмитрий Дегтярев wrote:
> >   
> >>07.05.2010 16:41, Дмитрий Дегтярев пишет:
> >>     
> >>>Добрый день!
> >>>
> >>>Стал настраивать вход https по сертификатам.
> >>>Ключ клиента сервер подтверждает, но возникает ошибка
> >>>Re-negotiation handshake failed: Not accepted by client!?
> >>>       
> >Совсем недавно делал такую штуку (Сизиф примерно месячной давности) -
> >и все работало.
> >Так что скорее всего что-то не так с конфигурацией или сертификатами.
> >
> >Слава
> >   
> чуть позже проверю openvpn с текущим openssl, будет ли работать. если не 
> будет, то 2 варианта: 1й бага openssl, 2й ключи с этим патчем нужно 
> генерить по другому, если работает то возможно бага в apache2 или 
> нехватает каких то опций в апаче.

А, кстати, кто там чем подписан, что-то я не разобрался?..
Я делал совсем по-простому: генерил self-signed CA, им
подписал сертификаты сервера и клиента.
Соответственно, и сервер и клиент знают этот CA и все правильно
проверяют...

В конфигурации apache2 у меня есть:
  SSLCertificateFile    "CNF_DIR/ssl/cert.pem"
  SSLCertificateKeyFile "CNF_DIR/ssl/key.pem"

и в соответствующем хосте, которому надо проверять клиентов:
  SSLEngine on
  SSLCACertificateFile "CNF_DIR/ssl/cacert.pem"
  SSLVerifyClient require
  SSLVerifyDepth  1

а клиента можно потестировать так:
sudo curl\
 --trace-ascii debug_ssl_out.txt\
 --cacert CNF_DIR/ssl/cacert.pem\
 --cert CNF_DIR/ssl/cert.pem\
 --key CNF_DIR/ssl/key.pem\
 https://NAME:PORT/test.pl

(имя сервера NAME должно совпадать с CN из сертификата сервера)

Слава


Подробная информация о списке рассылки Sisyphus