Re: Apache2 und Client-Zertifikate

To: debian-user-german@lists.debian.org
Subject: Re: Apache2 und Client-Zertifikate
From: Markus Schulz <msc@antzsystem.de>
Date: Thu, 8 Feb 2007 02:50:18 +0100
Message-id: <[🔎] 200702080250.19520@Mail-Followup-To>
In-reply-to: <[🔎] 20070207080433.GA3394@hiigara.uzulabs.intern>
References: <[🔎] 200702051714.06992.msc@antzsystem.de> <[🔎] 200702061751.40633.msc@antzsystem.de> <[🔎] 20070207080433.GA3394@hiigara.uzulabs.intern>

Am Mittwoch, 7. Februar 2007 09:04 schrieb Paul Puschmann:
> On Tue, Feb 06, 2007 at 05:51:40PM +0100, Markus Schulz wrote:
[...]
> > Habt ihr "SSLVerifyClient require" denn in einer Apache2 Umgebung
> > zum Laufen bewegen können? (also ohne das innerhalb eines
> > <Directory> anzugeben)
> > Eventuell sogar mit "optional"?
>
> Mit optional nicht. Bei uns war es Pflicht. Leider habe ich auch
> keine Config mehr, da das bei uns ja nur eine Testumgebung war.
>
> Ich vermute fast, dass es an diesem Teil der Config liegt:
>
> #Server CA-Chain
> SSLCertificateChainFile /etc/apache2/globalsign.pem
> #Server Zertifikat
> SSLCertificateFile /etc/apache2/servercert.pem
> #Server Zertifikat-Key
> SSLCertificateKeyFile /etc/apache2/servercert.pem
>
> #CAs der Clients-Auth
> SSLCACertificateFile /etc/apache2/ClientServerCA.chain.pem
> #SSLCARevocationFile /etc/apache2/ClientServerCA-crl.pem
> SSLVerifyDepth  2
> SSLOptions +StdEnvVars
>
>
> Server-Zertifikat und Server-Zertifikat-Key ist die gleiche Datei?

jap.

> Ist nicht notwendig, siehe hier:
> http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcertificatekeyfi
jap. pure Faulheit ;)

> Welchen Client nimmst du?
> Ich habe meist mit Mozilla und Firefox getestet und dann erst mit IE
> und Konqueror.

bis dato nur nur Firefox(Iceweasel) und Konqueror. Windows muss ich zum 
Glück auf Arbeit nurnoch selten booten ;)

Ich glaube bald, das ich mit der Sub-<Directory> und require Variante 
leben muss und auch kann.
Die optional Variante hat eh eine nicht gut klingende Anmerkung:
***********
In practice only levels none and require are really interesting, because 
level optional doesn't work with all browsers and level optional_no_ca 
is actually against the idea of authentication (but can be used to 
establish SSL test pages, etc.)
***********

Was mich allerdings am meisten wundert, warum selbst Require nur 
innerhalb der <Directory> Angabe erkannt wird. Direkt im <VirtualHost> 
Block wird es quasi ignoriert. Das wäre ja dann eigentlich ein Bug.
Vielleicht geht das ganze mal weiter in die Apache ML.

Erstmal muss ich den Kram jetzt mit den Signaturkarten+Smartcard-Reader 
testen.

-- 
Markus Schulz

Heute glaubt anscheinend jeder, Programme seien Geister, die in kleinen 
Totems wohnen und durch zweimaliges Berühren mit dem Mausfetisch 
beschworen werden. Daher vermutlich das Unvermögen, ein Programm zu 
starten, wenn das Totem verlorengegangen ist. (Thorsten Lange in 
d.a.s.r.)

Reply to:

References:
- Apache2 und Client-Zertifikate
  - From: Markus Schulz <msc@antzsystem.de>
- Re: Apache2 und Client-Zertifikate
  - From: Markus Schulz <msc@antzsystem.de>
- Re: Apache2 und Client-Zertifikate
  - From: Paul Puschmann <lnx@uzulabs.net>

Prev by Date: Re: Apache mod_rewrite und Linuxvirtualserver
Next by Date: initng
Previous by thread: Re: Apache2 und Client-Zertifikate
Next by thread: Re: BASH Shell Script: Variable zerlegen
Index(es):
- Date
- Thread