Re: Apache2 und Client-Zertifikate
Am Dienstag, 6. Februar 2007 09:34 schrieb Paul Puschmann:
> On Mon, Feb 05, 2007 at 05:14:06PM +0100, Markus Schulz wrote:
> > Hallo,
> >
> > ich versuche mich gerade an eine Apache2 (Debian/Sarge)
> > Installation die _optional_ über Client-Zertifikate
> > authentifiziert.
> >
> > Folgendermassen sieht meine derzeitige Konfiguration aus:
> >
[..ssl apache2 config...]
> >
> > Mein Problem ist folgendes, ich möchte eigentlich "SSLVerifyClient
> > optional" haben.
> >
> > Leider wird bei Optional das Client-Zertifikat (konqueror fragt
> > nach und ich erlaube das Senden) einfach vom Server ignoriert.
> > Ebenfalls ignoriert wird es, wenn ich die "SSLVerifyClient require"
> > Option nicht in das <Directory> verpacke, sondern nur im
> > VirtualHost mit drin habe. Das sieht mir dann eigentlich nach einem
> > Bug aus, denn laut Dokumentation ist SSLVerifyClient innerhalb der
> > VirtualHost Config auch erlaubt.
> >
> > Zusätzlich würde ich gern Revoked Zertifikate nicht direkt
> > abweisen, sondern über die SSL_CLIENT_VERIFY Variable in der
> > benutzten Skriptsprache erkennen und normale Login/Password
> > Authentifizierung anbieten. Dafür habe ich bisher allerdings noch
> > keine Option gefunden. Der Apache bricht die Verbindung zum Client
> > dann jedenfalls einfach ab.
> >
> > Jemand eine Idee dazu?
>
> Lass für den Anfang mal VerifyDepth und das RevocationFile weg, so
> dass du erst einmal die Verschlüsselung generell hinbekommst.
bringt leider nichts, außer das dann mein zurückgezogenes Testzertifikat
trotzdem akzeptiert wird (nur bei VerifyDepth 2, da ich 2 Ebenen in
meiner CA habe und Standard nur 1 ist).
Die Verschlüsselung (also das Serverzertifikat) funktioniert auch
problemlos. Nur die Client-Authentifikation nicht so wie ich das
möchte.
Habt ihr "SSLVerifyClient require" denn in einer Apache2 Umgebung zum
Laufen bewegen können? (also ohne das innerhalb eines <Directory>
anzugeben)
Eventuell sogar mit "optional"?
--
Markus Schulz - msc@antzsystem.de
Reply to: