Apache - autorizace pomoci klient. certifikatu VYRESENO
Lubomir Horna
lubos na horna.biz
Čtvrtek Únor 16 15:46:18 CET 2006
Dan Ohnesorg wrote:
> Dne Fri, Feb 10, 2006 at 03:20:01PM +0100, Lubomir Horna napsal:
>
>
>>Z te chybove hlasky rozumim, ze problem s certifikatem, ale ktere
>>"Certificate chain" se vlastne porovnavaji? Certifikat serveru s
>>klientskym, nebo korenovy cert.CA (ktery je ulozeny na serveru)
>>kontroluje podpis v klientskem certifikatu?
>
>
> Vsechny proti vsem.
>
> cerfitikat serveru musi byt podepsany certikatem CA, kterou klient zna.
>
> certifikat klienta musi byt podepsan CA, kterou server zna.
>
> CRL musi byt podepsano CA, kterou server zna a logicky takovou, ktera
> vystavila certifikat klienta.
>
> zdravim
> dan
>
Problem je v pouziti directivy <Directory>. Po zamene za <Location> to
zaclo chodit.
Pricemz server ma svuj certifikat a parametrem "SSLCACertificateFile" je
"podstrcen" korenovy certifikat CA pro overeni klientskeho certifikatu.
Nikde jsem nenasel, ze by to nemelo takhle funfovat.
Pokud jsem chtel pouzit <Directory> (bezpecnejsi pro odkazovani na "file
system objekty") tak jsem celou sekci <Directory> musel dat mimo
<VirtualHost>. Takze to ted vypada takto:
SSLVerifyClient none
<Directory /www/sites/bobis/ccm/html>
SSLVerifyClient optional
SSLVerifyDepth 1
SSLCACertificatePath /etc/apache2/ssl/CAcrt
SSLCACertificateFile /etc/apache2/ssl/CAcrt/bobis_CA.pem
SSLOptions +FakeBasicAuth
SSLRequireSSL
SSLOptions +StdEnvVars +ExportCertData
SSLRequire ( %{SSL_CLIENT_S_DN_O} in {"BOBIS a.s."} )
</Directory>
<VirtualHost 1.2.3.4:443>
ServerAdmin bobis na bobis.cz
ServerName ccm.bobis.cz
DocumentRoot /www/sites/bobis/ccm/html
SSLEngine on
</VirtualHost>
Další informace o konferenci Linux