Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: [Lug-bg] Apache Web Logon с Електронен Подпис

Subject: Re: [Lug-bg] Apache Web Logon с Електронен Подпис
From: "Vladimir Vitkov" <vvitkov@xxxxxxxxx>
Date: Sat, 12 Jan 2008 15:59:39 +0200

хммм имаш си го странно,

пробвал ли си да увеличиш дълбочината на удостоверяването (примерно на 3,4)

On 12/01/2008, Vladimir Vitkov <vvitkov@xxxxxxxxx> wrote:
> Лека корекция ...
>
> за да верифицираме клиента трябва да стигнем до ноговото RootCA а не
> до нашето което ни е издало сертификата на сървъра.
>
> Тоест необходима ни е една от тези две директиви:
> SSLCACertificateFile
> SSLCACertificatePath
>
> Лично аз предпочитам втората (не знам какъв и е овърхеда в кода на
> апача). За справка:
> http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcacertificatefile
>
> On 12/01/2008, Georgi Chorbadzhiyski <gf@xxxxxxxxxxx> wrote:
> > On 01/12/08 14:29, dean@xxxxxxxxxxxx wrote:
> > >> On 01/11/08 17:50, Dean Stoeff wrote:
> > >>> Здравейте някой борил ли се е с Апача да подкара оторизация на
> > >>> потребителите със смарт карти ? И по точно с тези издавани от нашите
> > >>> удостоверители на електронни подписи.
> > >>
> > >> Ето настройките на сървъра.
> > >> http://httpd.apache.org/docs/2.0/ssl/ssl_howto.html
> > >>
> > >> От тук нататък проблема е в клиентските бразуери. Да имат импортиран
> > >> клиентския сертификат или достъп до четящото устройство.
> > >
> > > :) Жоро, знам как да си подкарам SSL  на Апачето и как да си инсталирам
> > > картат а със сертификатите в браузъра, но явно нещо пропускам защото нещо
> > > не се получава. Ето какво пише в лога на Апача:
> >
> > Предполагам си направил нещо подобно:
> >
> > http://marc.info/?l=apache-modssl&m=101717965611360&w=2
> >
> > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1190): Certificate
> > > Verification: depth: 2, subject: /C=BG/O=InfoNotary
> > > PLC/DC=qsign-ca/CN=i-Notary Q Sign CA/OU=i-Notary Q Sign CA, issuer:
> > > /C=BG/O=InfoNotary PLC/DC=root-ca/CN=InfoNotary CSP Root/OU=InfoNotary CSP
> > > Root/emailAddress=csp@xxxxxxxxxxxxxx
> > > [Fri Jan 11 18:42:01 2008] [error] Certificate Verification: Error (20):
> > > unable to get local issuer certificate
> >
> > 2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: unable to get issuer certificate
> >     the issuer certificate could not be found: this occurs if the issuer
> >     certificate of an untrusted certificate cannot be found.
> >
> > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1770): OpenSSL:
> > > Write: SSLv3 read client certificate B
> > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1789): OpenSSL:
> > > Exit: error in SSLv3 read client certificate B
> > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1789): OpenSSL:
> > > Exit: error in SSLv3 read client certificate B
> > > [Fri Jan 11 18:42:01 2008] [info] [client 192.168.6.166] SSL library error
> > > 1 in handshake (server telecom.navbul.com:443)
> > > [Fri Jan 11 18:42:01 2008] [info] SSL Library Error: 336105650
> > > error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate
> > > returned
> > > [Fri Jan 11 18:42:01 2008] [info] [client 192.168.6.166] Connection closed
> > > to child 0 with abortive shutdown (server telecom.navbul.com:443)
> >
> > Виждам че ползваш InfoNotary като CA. Вмъкнал ли си техния root сертификат
> > сред trusted CA? Клиента има ли също техния сертификат (освен ключа си)?
> >
> > http://www.mail-archive.com/openssl-users@xxxxxxxxxxx/msg46409.html
> > http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcertificatechainfile
> >
> > http://www.issociate.de/board/post/292386/verify_error:num=20:unable_to_get_local_issuer_certificate.html
> >
> > http://gagravarr.org/writing/openssl-certs/others.shtml
> >
> > --
> > Georgi Chorbadzhiyski
> > http://georgi.unixsol.org/
> > _______________________________________________
> > Lug-bg mailing list
> > Lug-bg@xxxxxxxxxxxxxxxxxx
> > http://linux-bulgaria.org/mailman/listinfo/lug-bg
> >
>
>
> --
> С уважение,
> Владимир Витков
>
> http://www.netsecad.com
> http://www.supportbg.com
>


-- 
С уважение,
Владимир Витков

http://www.netsecad.com
http://www.supportbg.com
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg

Във връзка с:
- Re: [Lug-bg] Apache Web Logon с Електронен Подпис
  - Изпратено от: Dean Stoeff <dean@xxxxxxxxxxxx>

Относно:
- [Lug-bg] Apache Web Logon с Електронен Подпис
  - Изпратено от: Dean Stoeff <dean@xxxxxxxxxxxx>
- Re: [Lug-bg] Apache Web Logon с Електронен Подпис
  - Изпратено от: Georgi Chorbadzhiyski <gf@xxxxxxxxxxx>
- Re: [Lug-bg] Apache Web Logon с Електронен Подпис
  - Изпратено от: dean@xxxxxxxxxxxx
- Re: [Lug-bg] Apache Web Logon с Електронен Подпис
  - Изпратено от: Georgi Chorbadzhiyski <gf@xxxxxxxxxxx>
- Re: [Lug-bg] Apache Web Logon с Електронен Подпис
  - Изпратено от: "Vladimir Vitkov" <vvitkov@xxxxxxxxx>

Предишно по дата: Re: [Lug-bg] Apache Web Logon с Електронен Подпис
Следващо по дата: Re: [Lug-bg] Apache Web Logon с Електронен Подпис
Предишно по тема: Re: [Lug-bg] Apache Web Logon с Електронен Подпис
Следващо по тема: Re: [Lug-bg] Apache Web Logon с Електронен Подпис
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG