* Re: [sisyphus] Apache2 + mod_ssl клиентские ключи
@ 2010-05-07 10:46 ` Anton Gorlov
2010-05-07 10:49 ` Дмитрий Дегтярев
2010-05-07 16:14 ` Alexey Shabalin
2 siblings, 1 reply; 7+ messages in thread
From: Anton Gorlov @ 2010-05-07 10:46 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Браузер на клиентской стороне не ie случаем?
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Apache2 + mod_ssl клиентские ключи
2010-05-07 10:46 ` [sisyphus] Apache2 + mod_ssl клиентские ключи Anton Gorlov
@ 2010-05-07 10:49 ` Дмитрий Дегтярев
2010-05-07 16:10 ` Alexey Shabalin
0 siblings, 1 reply; 7+ messages in thread
From: Дмитрий Дегтярев @ 2010-05-07 10:49 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
07.05.2010 16:46, Anton Gorlov пишет:
> Браузер на клиентской стороне не ie случаем?
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sisyphus
обычно chromium'ом пользуюсь, но его не научили ключи добавлять...
поэтому проверяю работу в Firefox 3.6.3
--
С уважением, Дегтярев Дмитрий
инженер-программист ООО "Невод" г. Пермь
web: http://nevod.ru
тел: (342) 2 196 960
e-mail: ddv@nevod.ru
JID: ddv@nevod.ru
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Apache2 + mod_ssl клиентские ключи
2010-05-07 10:49 ` Дмитрий Дегтярев
@ 2010-05-07 16:10 ` Alexey Shabalin
0 siblings, 0 replies; 7+ messages in thread
From: Alexey Shabalin @ 2010-05-07 16:10 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
7 мая 2010 г. 14:49 пользователь Дмитрий Дегтярев написал:
> 07.05.2010 16:46, Anton Gorlov пишет:
>>
>> Браузер на клиентской стороне не ie случаем?
>
> обычно chromium'ом пользуюсь, но его не научили ключи добавлять... поэтому
> проверяю работу в Firefox 3.6.3
chromium тоже умеет. погуглите.
можно в консоли добавить. а можно попробовать базу от firefox подложить.
но проверяйте в firefox - так надёжней :)
--
Alexey Shabalin
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Apache2 + mod_ssl клиентские ключи
2010-05-07 10:46 ` [sisyphus] Apache2 + mod_ssl клиентские ключи Anton Gorlov
@ 2010-05-07 16:14 ` Alexey Shabalin
2 siblings, 0 replies; 7+ messages in thread
From: Alexey Shabalin @ 2010-05-07 16:14 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
7 мая 2010 г. 14:41 пользователь Дмитрий Дегтярев написал:
> Добрый день!
>
> Стал настраивать вход https по сертификатам.
> Ключ клиента сервер подтверждает, но возникает ошибка
> Re-negotiation handshake failed: Not accepted by client!?
А на клиенте есть сертификат CA?
А сертификат сервера выдан этим CA.
Мне показалось, что на сервере самоподписанный серт.
--
Alexey Shabalin
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Apache2 + mod_ssl клиентские ключи
@ 2010-05-14 9:58 ` Vladislav Zavjalov
2010-05-14 10:09 ` Дмитрий Дегтярев
0 siblings, 1 reply; 7+ messages in thread
From: Vladislav Zavjalov @ 2010-05-14 9:58 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Fri, May 14, 2010 at 03:32:49PM +0600, Дмитрий Дегтярев wrote:
> 07.05.2010 16:41, Дмитрий Дегтярев пишет:
> >Добрый день!
> >
> >Стал настраивать вход https по сертификатам.
> >Ключ клиента сервер подтверждает, но возникает ошибка
> >Re-negotiation handshake failed: Not accepted by client!?
Совсем недавно делал такую штуку (Сизиф примерно месячной давности) -
и все работало.
Так что скорее всего что-то не так с конфигурацией или сертификатами.
Слава
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Apache2 + mod_ssl клиентские ключи
2010-05-14 9:58 ` Vladislav Zavjalov
@ 2010-05-14 10:09 ` Дмитрий Дегтярев
2010-05-14 10:24 ` Vladislav Zavjalov
0 siblings, 1 reply; 7+ messages in thread
From: Дмитрий Дегтярев @ 2010-05-14 10:09 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
14.05.2010 15:58, Vladislav Zavjalov пишет:
> On Fri, May 14, 2010 at 03:32:49PM +0600, Дмитрий Дегтярев wrote:
>
>> 07.05.2010 16:41, Дмитрий Дегтярев пишет:
>>
>>> Добрый день!
>>>
>>> Стал настраивать вход https по сертификатам.
>>> Ключ клиента сервер подтверждает, но возникает ошибка
>>> Re-negotiation handshake failed: Not accepted by client!?
>>>
> Совсем недавно делал такую штуку (Сизиф примерно месячной давности) -
> и все работало.
> Так что скорее всего что-то не так с конфигурацией или сертификатами.
>
> Слава
>
чуть позже проверю openvpn с текущим openssl, будет ли работать. если не
будет, то 2 варианта: 1й бага openssl, 2й ключи с этим патчем нужно
генерить по другому, если работает то возможно бага в apache2 или
нехватает каких то опций в апаче.
--
С уважением, Дегтярев Дмитрий
инженер-программист ООО "Невод" г. Пермь
web: http://nevod.ru
тел: (342) 2 196 960
e-mail: ddv@nevod.ru
JID: ddv@nevod.ru
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Apache2 + mod_ssl клиентские ключи
2010-05-14 10:09 ` Дмитрий Дегтярев
@ 2010-05-14 10:24 ` Vladislav Zavjalov
0 siblings, 0 replies; 7+ messages in thread
From: Vladislav Zavjalov @ 2010-05-14 10:24 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Fri, May 14, 2010 at 04:09:20PM +0600, Дмитрий Дегтярев wrote:
> 14.05.2010 15:58, Vladislav Zavjalov пишет:
> >On Fri, May 14, 2010 at 03:32:49PM +0600, Дмитрий Дегтярев wrote:
> >
> >>07.05.2010 16:41, Дмитрий Дегтярев пишет:
> >>
> >>>Добрый день!
> >>>
> >>>Стал настраивать вход https по сертификатам.
> >>>Ключ клиента сервер подтверждает, но возникает ошибка
> >>>Re-negotiation handshake failed: Not accepted by client!?
> >>>
> >Совсем недавно делал такую штуку (Сизиф примерно месячной давности) -
> >и все работало.
> >Так что скорее всего что-то не так с конфигурацией или сертификатами.
> >
> >Слава
> >
> чуть позже проверю openvpn с текущим openssl, будет ли работать. если не
> будет, то 2 варианта: 1й бага openssl, 2й ключи с этим патчем нужно
> генерить по другому, если работает то возможно бага в apache2 или
> нехватает каких то опций в апаче.
А, кстати, кто там чем подписан, что-то я не разобрался?..
Я делал совсем по-простому: генерил self-signed CA, им
подписал сертификаты сервера и клиента.
Соответственно, и сервер и клиент знают этот CA и все правильно
проверяют...
В конфигурации apache2 у меня есть:
SSLCertificateFile "CNF_DIR/ssl/cert.pem"
SSLCertificateKeyFile "CNF_DIR/ssl/key.pem"
и в соответствующем хосте, которому надо проверять клиентов:
SSLEngine on
SSLCACertificateFile "CNF_DIR/ssl/cacert.pem"
SSLVerifyClient require
SSLVerifyDepth 1
а клиента можно потестировать так:
sudo curl\
--trace-ascii debug_ssl_out.txt\
--cacert CNF_DIR/ssl/cacert.pem\
--cert CNF_DIR/ssl/cert.pem\
--key CNF_DIR/ssl/key.pem\
https://NAME:PORT/test.pl
(имя сервера NAME должно совпадать с CN из сертификата сервера)
Слава
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2010-05-14 10:24 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-05-07 10:46 ` [sisyphus] Apache2 + mod_ssl клиентские ключи Anton Gorlov
2010-05-07 10:49 ` Дмитрий Дегтярев
2010-05-07 16:10 ` Alexey Shabalin
2010-05-07 16:14 ` Alexey Shabalin
2010-05-14 9:58 ` Vladislav Zavjalov
2010-05-14 10:09 ` Дмитрий Дегтярев
2010-05-14 10:24 ` Vladislav Zavjalov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git