On Tue, Feb 06, 2007 at 05:51:40PM +0100, Markus Schulz wrote: > Am Dienstag, 6. Februar 2007 09:34 schrieb Paul Puschmann: > > On Mon, Feb 05, 2007 at 05:14:06PM +0100, Markus Schulz wrote: > > > Hallo, > > > > > > Mein Problem ist folgendes, ich möchte eigentlich "SSLVerifyClient > > > optional" haben. > > > > > > Leider wird bei Optional das Client-Zertifikat (konqueror fragt > > > nach und ich erlaube das Senden) einfach vom Server ignoriert. > > > Ebenfalls ignoriert wird es, wenn ich die "SSLVerifyClient require" > > > Option nicht in das <Directory> verpacke, sondern nur im > > > VirtualHost mit drin habe. Das sieht mir dann eigentlich nach einem > > > Bug aus, denn laut Dokumentation ist SSLVerifyClient innerhalb der > > > VirtualHost Config auch erlaubt. > > > > > > Zusätzlich würde ich gern Revoked Zertifikate nicht direkt > > > abweisen, sondern über die SSL_CLIENT_VERIFY Variable in der > > > benutzten Skriptsprache erkennen und normale Login/Password > > > Authentifizierung anbieten. Dafür habe ich bisher allerdings noch > > > keine Option gefunden. Der Apache bricht die Verbindung zum Client > > > dann jedenfalls einfach ab. > > > > > > Jemand eine Idee dazu? > > > > Lass für den Anfang mal VerifyDepth und das RevocationFile weg, so > > dass du erst einmal die Verschlüsselung generell hinbekommst. > > bringt leider nichts, außer das dann mein zurückgezogenes Testzertifikat > trotzdem akzeptiert wird (nur bei VerifyDepth 2, da ich 2 Ebenen in > meiner CA habe und Standard nur 1 ist). > > Die Verschlüsselung (also das Serverzertifikat) funktioniert auch > problemlos. Nur die Client-Authentifikation nicht so wie ich das > möchte. > > Habt ihr "SSLVerifyClient require" denn in einer Apache2 Umgebung zum > Laufen bewegen können? (also ohne das innerhalb eines <Directory> > anzugeben) > Eventuell sogar mit "optional"? Mit optional nicht. Bei uns war es Pflicht. Leider habe ich auch keine Config mehr, da das bei uns ja nur eine Testumgebung war. Ich vermute fast, dass es an diesem Teil der Config liegt: #Server CA-Chain SSLCertificateChainFile /etc/apache2/globalsign.pem #Server Zertifikat SSLCertificateFile /etc/apache2/servercert.pem #Server Zertifikat-Key SSLCertificateKeyFile /etc/apache2/servercert.pem #CAs der Clients-Auth SSLCACertificateFile /etc/apache2/ClientServerCA.chain.pem #SSLCARevocationFile /etc/apache2/ClientServerCA-crl.pem SSLVerifyDepth 2 SSLOptions +StdEnvVars Server-Zertifikat und Server-Zertifikat-Key ist die gleiche Datei? Ist nicht notwendig, siehe hier: http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcertificatekeyfile Welchen Client nimmst du? Ich habe meist mit Mozilla und Firefox getestet und dann erst mit IE und Konqueror. Paul --
Attachment:
signature.asc
Description: Digital signature