alibek Posted June 23, 2017 · Report post Нужно настроить SSL на одном публичном сервере, чтобы он требовал клиентский сертификат (и предоставлял доступ на основе этого сертификата). Когда-то давно у меня была такая рабочая конфигурация: SSLEngine on SSLCertificateFile "cert/site.crt" SSLCertificateKeyFile "cert/site.key" SSLCACertificateFile "cert/ca.crt" # SSLCARevocationFile "cert/ca.crl" <Location /> SSLRequireSSL # SSLVerifyClient require # SSLVerifyDepth 4 # SSLRequire %{SSL_CLIENT_I_DN_Email} in {"ca@site.local", "staff@site.local"} # SSLOptions +ExportCertData +FakeBasicAuth # SSLUserName SSL_CLIENT_S_DN_Email # AuthName "Service Area" # AuthType Basic # AuthUserFile "cert/site.usr" # Require valid-user </Location> Разумеется в ней все строки был раскомментированы. ca.crt и ca.crl это сертификат собственного (самоподписанного) CA, site.crt и site.key это сертификат и ключ на сайт, подписанный собственным CA, site.usr это список email (в клиентском сертификате), которым разрешен доступ на сайт. Причем клиентские сертификаты должны были быть выданы либо корневым CA (ca@site.local), либо промежуточным CA (staff@site.local). Ранее это все работало нормально. Теперь в таком виде (с закомментированными строками) работает, но разумеется клиентский сертификат не проверяется. Как только раскомментирую SSLVerifyClient require, работать сразу же перестает, на клиенте ошибка "Сайт не отправил данных", на сервере в логах "Re-negotiation handshake failed". Не подскажите, куда копать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted June 23, 2017 · Report post Блин, разобрался. Все было правильно. Просто у меня на ПК был установлен Касперский, который считал себя слишком умным и подменял CA на свой сертификат, для MITM. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted June 23, 2017 · Report post Антивирь который подменяет серфтификат. Это так мило... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted June 23, 2017 · Report post Я и сам впечатлился. Подается под соусом благих намерений (проверять вирусы и трояны на https-страницах), однако при двухсторонней проверке (клиента сервером) это разумеется вылезло. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
IPaddress.ru Posted July 18, 2017 · Report post Антивирусы, как правило приносят больше геморроя, чем пользы. :) А тут еще и MITM встроенный, прекрасно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...