From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <slazav@altlinux.org>
Date: Fri, 14 May 2010 14:24:49 +0400
From: Vladislav Zavjalov <slazav@altlinux.org>
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
Message-ID: <20100514102449.GC5466@imap.altlinux.org>
References: <4BE3EE62.5020902@nevod.ru> <4BED18C1.6080201@nevod.ru>
	<20100514095803.GB5466@imap.altlinux.org>
	<4BED2150.4050705@nevod.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <4BED2150.4050705@nevod.ru>
User-Agent: Mutt/1.4.2.3i
Subject: Re: [sisyphus] =?koi8-r?b?QXBhY2hlMiArIG1vZF9zc2wgy8zJxc7U08vJxSDL?=
	=?koi8-r?b?zMDeyQ==?=
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 14 May 2010 10:24:49 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20100514102449.GC5466@imap.altlinux.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

On Fri, May 14, 2010 at 04:09:20PM +0600, Дмитрий Дегтярев wrote:
> 14.05.2010 15:58, Vladislav Zavjalov пишет:
> >On Fri, May 14, 2010 at 03:32:49PM +0600, Дмитрий Дегтярев wrote:
> >   
> >>07.05.2010 16:41, Дмитрий Дегтярев пишет:
> >>     
> >>>Добрый день!
> >>>
> >>>Стал настраивать вход https по сертификатам.
> >>>Ключ клиента сервер подтверждает, но возникает ошибка
> >>>Re-negotiation handshake failed: Not accepted by client!?
> >>>       
> >Совсем недавно делал такую штуку (Сизиф примерно месячной давности) -
> >и все работало.
> >Так что скорее всего что-то не так с конфигурацией или сертификатами.
> >
> >Слава
> >   
> чуть позже проверю openvpn с текущим openssl, будет ли работать. если не 
> будет, то 2 варианта: 1й бага openssl, 2й ключи с этим патчем нужно 
> генерить по другому, если работает то возможно бага в apache2 или 
> нехватает каких то опций в апаче.

А, кстати, кто там чем подписан, что-то я не разобрался?..
Я делал совсем по-простому: генерил self-signed CA, им
подписал сертификаты сервера и клиента.
Соответственно, и сервер и клиент знают этот CA и все правильно
проверяют...

В конфигурации apache2 у меня есть:
  SSLCertificateFile    "CNF_DIR/ssl/cert.pem"
  SSLCertificateKeyFile "CNF_DIR/ssl/key.pem"

и в соответствующем хосте, которому надо проверять клиентов:
  SSLEngine on
  SSLCACertificateFile "CNF_DIR/ssl/cacert.pem"
  SSLVerifyClient require
  SSLVerifyDepth  1

а клиента можно потестировать так:
sudo curl\
 --trace-ascii debug_ssl_out.txt\
 --cacert CNF_DIR/ssl/cacert.pem\
 --cert CNF_DIR/ssl/cert.pem\
 --key CNF_DIR/ssl/key.pem\
 https://NAME:PORT/test.pl

(имя сервера NAME должно совпадать с CN из сертификата сервера)

Слава