Перейти к содержимому
Калькуляторы

Настроить SSL в Apache 2.2

Нужно настроить SSL на одном публичном сервере, чтобы он требовал клиентский сертификат (и предоставлял доступ на основе этого сертификата).

Когда-то давно у меня была такая рабочая конфигурация:

   SSLEngine on
   SSLCertificateFile    "cert/site.crt"
   SSLCertificateKeyFile "cert/site.key"
   SSLCACertificateFile  "cert/ca.crt"
#   SSLCARevocationFile   "cert/ca.crl"
   <Location />
       SSLRequireSSL
#        SSLVerifyClient require
#        SSLVerifyDepth 4
#        SSLRequire %{SSL_CLIENT_I_DN_Email} in {"ca@site.local", "staff@site.local"}
#        SSLOptions +ExportCertData +FakeBasicAuth
#        SSLUserName SSL_CLIENT_S_DN_Email
#        AuthName "Service Area"
#        AuthType Basic
#        AuthUserFile "cert/site.usr"
#        Require valid-user
   </Location>

Разумеется в ней все строки был раскомментированы.

ca.crt и ca.crl это сертификат собственного (самоподписанного) CA, site.crt и site.key это сертификат и ключ на сайт, подписанный собственным CA, site.usr это список email (в клиентском сертификате), которым разрешен доступ на сайт. Причем клиентские сертификаты должны были быть выданы либо корневым CA (ca@site.local), либо промежуточным CA (staff@site.local).

 

Ранее это все работало нормально.

Теперь в таком виде (с закомментированными строками) работает, но разумеется клиентский сертификат не проверяется.

Как только раскомментирую SSLVerifyClient require, работать сразу же перестает, на клиенте ошибка "Сайт не отправил данных", на сервере в логах "Re-negotiation handshake failed".

 

Не подскажите, куда копать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блин, разобрался.

Все было правильно.

Просто у меня на ПК был установлен Касперский, который считал себя слишком умным и подменял CA на свой сертификат, для MITM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Антивирь который подменяет серфтификат. Это так мило...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я и сам впечатлился.

Подается под соусом благих намерений (проверять вирусы и трояны на https-страницах), однако при двухсторонней проверке (клиента сервером) это разумеется вылезло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Антивирусы, как правило приносят больше геморроя, чем пользы. :) А тут еще и MITM встроенный, прекрасно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.