Apache - autorizace pomoci klient. certifikatu VYRESENO

[Lubomir Horna]

Dan Ohnesorg wrote:
> Dne Fri, Feb 10, 2006 at 03:20:01PM +0100, Lubomir Horna napsal:
> 
> 
>>Z te chybove hlasky rozumim, ze problem s certifikatem, ale ktere
>>"Certificate chain" se vlastne porovnavaji? Certifikat serveru s
>>klientskym, nebo korenovy cert.CA (ktery je ulozeny na serveru)
>>kontroluje podpis v klientskem certifikatu?
> 
> 
> Vsechny proti vsem.
> 
> cerfitikat serveru musi byt podepsany certikatem CA, kterou klient zna.
> 
> certifikat klienta musi byt podepsan CA, kterou server zna.
> 
> CRL musi byt podepsano CA, kterou server zna a logicky takovou, ktera
> vystavila certifikat klienta.
> 
> zdravim
> dan
> 

Problem je v pouziti directivy <Directory>. Po zamene za <Location> to
zaclo chodit.
Pricemz server ma svuj certifikat a parametrem "SSLCACertificateFile" je
"podstrcen" korenovy certifikat CA pro overeni klientskeho certifikatu.
Nikde jsem nenasel, ze by to nemelo takhle funfovat.

Pokud jsem chtel pouzit <Directory> (bezpecnejsi pro odkazovani na "file
system objekty") tak jsem celou sekci <Directory> musel dat mimo
<VirtualHost>. Takze to ted vypada takto:

   SSLVerifyClient none
<Directory /www/sites/bobis/ccm/html>
   SSLVerifyClient    optional
   SSLVerifyDepth     1
   SSLCACertificatePath /etc/apache2/ssl/CAcrt
   SSLCACertificateFile /etc/apache2/ssl/CAcrt/bobis_CA.pem
   SSLOptions         +FakeBasicAuth
   SSLRequireSSL
   SSLOptions         +StdEnvVars +ExportCertData
   SSLRequire         ( %{SSL_CLIENT_S_DN_O} in {"BOBIS a.s."} )
 </Directory>

<VirtualHost 1.2.3.4:443>
    ServerAdmin bobis na bobis.cz
    ServerName ccm.bobis.cz
    DocumentRoot /www/sites/bobis/ccm/html
    SSLEngine on
</VirtualHost>