Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Suse/OpenSuSE - Apache2 + mod_ssl - авторизация по клиентским сертификатам

Ответить
Настройки темы
Suse/OpenSuSE - Apache2 + mod_ssl - авторизация по клиентским сертификатам

Пользователь


Сообщения: 96
Благодарности: 2

Профиль | Отправить PM | Цитировать

Изменения
Автор: Endy1
Дата: 22-02-2010
Ребята.. уже 2 недели мучаюсь, не могу найти ошибку. Суть вопроса простая: нужно настроить Apache для авторизации по клиентским сертификатам.
Все ключи и сертификаты думаю созданы правильно. На тестовом сервере всё прекрасно заработало (OpenSuse 11.2).

В .htaccess указываю:
Код: Выделить весь код
  SSLVerifyClient optional
  SSLVerifyDepth 2
Но как только захожу на страничку, которая должна запрашивать клиентский сертификат, получаю вот что:

SSL-узлу не удалось договориться о приемлемом наборе параметров безопасности.
(Код ошибки: ssl_error_handshake_failure_alert)

Error.log апача в это время пишет вот что:
Re-negotiation handshake failed: Not accepted by client!?

Ничего не понимаю, где искать.. что искать. Вроде всё делал аналогично с тестовым сервером. Уже мозги кипят

Привожу конф апача для виртуальных хостов с SSL


Код: Выделить весь код
<VirtualHost *:443>

        DocumentRoot "/srv/virtual_2/site.examle.ru/html"
        ServerName site.examle.ru
        ServerAdmin root@localhost
        ErrorLog /var/log/apache2/httpdssl-error.log
        TransferLog /var/log/apache2/httpdssl-access.log


            <Directory "/srv/virtual_2/site.examle.ru/html>
              Options FollowSymLinks
              AllowOverride All
              Order allow,deny
              Allow from all
              php_admin_value allow_url_fopen 0
            </Directory>

        SSLEngine on
        SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
        SSLCACertificatePath /etc/apache2/esteid
        SSLCertificateFile /etc/apache2/uued/server.crt
        SSLCertificateKeyFile /etc/apache2/uued/server.key.unsecure
        SSLCACertificateFile  /etc/apache2/esteid/id.crt
        SSLCARevocationPath /etc/apache2/ssl.crl


        <FilesMatch "\.(cgi|shtml|phtml|php)$">
            SSLOptions +StdEnvVars +ExportCertData
        </FilesMatch>

        <Directory "/usr/local/www/apache22/cgi-bin">
            SSLOptions +StdEnvVars
        </Directory>

        BrowserMatch ".*MSIE.*" \
                 nokeepalive ssl-unclean-shutdown \
                 downgrade-1.0 force-response-1.0

        CustomLog /var/log/apache2/httpd-ssl_request.log \
                  "%f %t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>
Помогите, кто чем может... Может кто подскажет как протестировать SSL соединение, чтобы понять на каком шаге apache спотыкатется? Или кто-то сталкивался с такой бедой?

Отправлено: 13:44, 15-02-2010

 

Пользователь


Сообщения: 96
Благодарности: 2

Профиль | Отправить PM | Цитировать

Перекопал весь гугл, таких же вопросов полно и, но нет ни одного ответа.

Отправлено: 10:33, 16-02-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 96
Благодарности: 2

Профиль | Отправить PM | Цитировать

Такс... по-моему что-то начало проясняться.
1. Пробую эту авторизацию на тестовой машине. Всё работает как надо.
2. Делаю update всех программ на этой самой тестовой машине. Работать перестаёт.
3. Делаю вывод, что проблема в новой версии какой-то программы. Скорее всего openssl.
А именно в версии OpenSSL 0.9.8h 28 May 2008


Никто не сталкивался с этим?

Отправлено: 11:48, 19-02-2010 | #3


Пользователь


Сообщения: 96
Благодарности: 2

Профиль | Отправить PM | Цитировать

А вот и конкретный ответ. Виноват openssl-CVE-2009-4355.patch который устанавливается в числе других обновлений.
Теперь вопрос как этот патч удалить. Но.. это в другой теме.

Вообще у меня такое навязчивое чувство, что я разговариваю сам с собой. Но.. понимаю, вопрос не простой.
Это сообщение посчитали полезным следующие участники:

Отправлено: 17:23, 19-02-2010 | #4


Аватара для WhitePangolin

Старожил


Сообщения: 398
Благодарности: 49

Профиль | Отправить PM | Цитировать

Цитата Endy1:
Вообще у меня такое навязчивое чувство, что я разговариваю сам с собой »
Просто Вам повезло найти багу с которой никто тут не сталкивался... будьте уверены что почти все с напряжением читают этот топик, в надежде познать истину...

-------
"Будьте реалистами - требуйте невозможного!" (c) Ernesto Che Guevara

Отправлено: 20:02, 19-02-2010 | #5


Пользователь


Сообщения: 96
Благодарности: 2

Профиль | Отправить PM | Цитировать

Вот и найдено решение! Проблема была в библиотеке libopenssl0_9_8 0.9.8h-28.13.1
Рабочая версия 0.9.8h-28.10.1.
Это сообщение посчитали полезным следующие участники:

Отправлено: 13:32, 22-02-2010 | #6



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Suse/OpenSuSE - Apache2 + mod_ssl - авторизация по клиентским сертификатам

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
apache2&python penguen Программное обеспечение Linux и FreeBSD 0 18-01-2010 10:20
FreeBSD - Apache2 + SSL = Help me please... xolod. Общий по FreeBSD 0 22-06-2009 00:09
Не запускаеться Apache2.0.59 kaEwituS Программное обеспечение Linux и FreeBSD 1 04-09-2007 09:04
Вопрос по сертификатам. Alexandrovav Microsoft Windows NT/2000/2003 0 04-12-2006 10:24
Где грабли при установке Apache + mod_ssl m2001 Общий по Linux 7 12-05-2005 19:43


« Предыдущая тема | Следующая тема »


 
Переход