From: Vladislav Zavjalov <slazav@altlinux.org>
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
Subject: Re: [sisyphus] Apache2 + mod_ssl клиентские ключи
Date: Fri, 14 May 2010 14:24:49 +0400
Message-ID: <20100514102449.GC5466@imap.altlinux.org> (raw)
In-Reply-To: <4BED2150.4050705@nevod.ru>
On Fri, May 14, 2010 at 04:09:20PM +0600, Дмитрий Дегтярев wrote:
> 14.05.2010 15:58, Vladislav Zavjalov пишет:
> >On Fri, May 14, 2010 at 03:32:49PM +0600, Дмитрий Дегтярев wrote:
> >
> >>07.05.2010 16:41, Дмитрий Дегтярев пишет:
> >>
> >>>Добрый день!
> >>>
> >>>Стал настраивать вход https по сертификатам.
> >>>Ключ клиента сервер подтверждает, но возникает ошибка
> >>>Re-negotiation handshake failed: Not accepted by client!?
> >>>
> >Совсем недавно делал такую штуку (Сизиф примерно месячной давности) -
> >и все работало.
> >Так что скорее всего что-то не так с конфигурацией или сертификатами.
> >
> >Слава
> >
> чуть позже проверю openvpn с текущим openssl, будет ли работать. если не
> будет, то 2 варианта: 1й бага openssl, 2й ключи с этим патчем нужно
> генерить по другому, если работает то возможно бага в apache2 или
> нехватает каких то опций в апаче.
А, кстати, кто там чем подписан, что-то я не разобрался?..
Я делал совсем по-простому: генерил self-signed CA, им
подписал сертификаты сервера и клиента.
Соответственно, и сервер и клиент знают этот CA и все правильно
проверяют...
В конфигурации apache2 у меня есть:
SSLCertificateFile "CNF_DIR/ssl/cert.pem"
SSLCertificateKeyFile "CNF_DIR/ssl/key.pem"
и в соответствующем хосте, которому надо проверять клиентов:
SSLEngine on
SSLCACertificateFile "CNF_DIR/ssl/cacert.pem"
SSLVerifyClient require
SSLVerifyDepth 1
а клиента можно потестировать так:
sudo curl\
--trace-ascii debug_ssl_out.txt\
--cacert CNF_DIR/ssl/cacert.pem\
--cert CNF_DIR/ssl/cert.pem\
--key CNF_DIR/ssl/key.pem\
https://NAME:PORT/test.pl
(имя сервера NAME должно совпадать с CN из сертификата сервера)
Слава
prev parent reply other threads:[~2010-05-14 10:24 UTC|newest]
Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top
2010-05-07 10:46 ` Anton Gorlov
2010-05-07 10:49 ` Дмитрий Дегтярев
2010-05-07 16:10 ` Alexey Shabalin
2010-05-07 16:14 ` Alexey Shabalin
2010-05-14 9:58 ` Vladislav Zavjalov
2010-05-14 10:09 ` Дмитрий Дегтярев
2010-05-14 10:24 ` Vladislav Zavjalov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20100514102449.GC5466@imap.altlinux.org \
--to=slazav@altlinux.org \
--cc=sisyphus@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git