|
Re: [Lug-bg] Apache Web Logon с Електронен Подпис
- Subject: Re: [Lug-bg] Apache Web Logon с Електронен Подпис
- From: "Vladimir Vitkov" <vvitkov@xxxxxxxxx>
- Date: Sat, 12 Jan 2008 15:55:49 +0200
Лека корекция ...
за да верифицираме клиента трябва да стигнем до ноговото RootCA а не
до нашето което ни е издало сертификата на сървъра.
Тоест необходима ни е една от тези две директиви:
SSLCACertificateFile
SSLCACertificatePath
Лично аз предпочитам втората (не знам какъв и е овърхеда в кода на
апача). За справка:
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcacertificatefile
On 12/01/2008, Georgi Chorbadzhiyski <gf@xxxxxxxxxxx> wrote:
> On 01/12/08 14:29, dean@xxxxxxxxxxxx wrote:
> >> On 01/11/08 17:50, Dean Stoeff wrote:
> >>> Здравейте някой борил ли се е с Апача да подкара оторизация на
> >>> потребителите със смарт карти ? И по точно с тези издавани от нашите
> >>> удостоверители на електронни подписи.
> >>
> >> Ето настройките на сървъра.
> >> http://httpd.apache.org/docs/2.0/ssl/ssl_howto.html
> >>
> >> От тук нататък проблема е в клиентските бразуери. Да имат импортиран
> >> клиентския сертификат или достъп до четящото устройство.
> >
> > :) Жоро, знам как да си подкарам SSL на Апачето и как да си инсталирам
> > картат а със сертификатите в браузъра, но явно нещо пропускам защото нещо
> > не се получава. Ето какво пише в лога на Апача:
>
> Предполагам си направил нещо подобно:
>
> http://marc.info/?l=apache-modssl&m=101717965611360&w=2
>
> > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1190): Certificate
> > Verification: depth: 2, subject: /C=BG/O=InfoNotary
> > PLC/DC=qsign-ca/CN=i-Notary Q Sign CA/OU=i-Notary Q Sign CA, issuer:
> > /C=BG/O=InfoNotary PLC/DC=root-ca/CN=InfoNotary CSP Root/OU=InfoNotary CSP
> > Root/emailAddress=csp@xxxxxxxxxxxxxx
> > [Fri Jan 11 18:42:01 2008] [error] Certificate Verification: Error (20):
> > unable to get local issuer certificate
>
> 2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: unable to get issuer certificate
> the issuer certificate could not be found: this occurs if the issuer
> certificate of an untrusted certificate cannot be found.
>
> > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1770): OpenSSL:
> > Write: SSLv3 read client certificate B
> > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1789): OpenSSL:
> > Exit: error in SSLv3 read client certificate B
> > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1789): OpenSSL:
> > Exit: error in SSLv3 read client certificate B
> > [Fri Jan 11 18:42:01 2008] [info] [client 192.168.6.166] SSL library error
> > 1 in handshake (server telecom.navbul.com:443)
> > [Fri Jan 11 18:42:01 2008] [info] SSL Library Error: 336105650
> > error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate
> > returned
> > [Fri Jan 11 18:42:01 2008] [info] [client 192.168.6.166] Connection closed
> > to child 0 with abortive shutdown (server telecom.navbul.com:443)
>
> Виждам че ползваш InfoNotary като CA. Вмъкнал ли си техния root сертификат
> сред trusted CA? Клиента има ли също техния сертификат (освен ключа си)?
>
> http://www.mail-archive.com/openssl-users@xxxxxxxxxxx/msg46409.html
> http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcertificatechainfile
>
> http://www.issociate.de/board/post/292386/verify_error:num=20:unable_to_get_local_issuer_certificate.html
>
> http://gagravarr.org/writing/openssl-certs/others.shtml
>
> --
> Georgi Chorbadzhiyski
> http://georgi.unixsol.org/
> _______________________________________________
> Lug-bg mailing list
> Lug-bg@xxxxxxxxxxxxxxxxxx
> http://linux-bulgaria.org/mailman/listinfo/lug-bg
>
--
С уважение,
Владимир Витков
http://www.netsecad.com
http://www.supportbg.com
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|
|
|