Re: Apache2 und Client-Zertifikate
Am Mittwoch, 7. Februar 2007 09:04 schrieb Paul Puschmann:
> On Tue, Feb 06, 2007 at 05:51:40PM +0100, Markus Schulz wrote:
[...]
> > Habt ihr "SSLVerifyClient require" denn in einer Apache2 Umgebung
> > zum Laufen bewegen können? (also ohne das innerhalb eines
> > <Directory> anzugeben)
> > Eventuell sogar mit "optional"?
>
> Mit optional nicht. Bei uns war es Pflicht. Leider habe ich auch
> keine Config mehr, da das bei uns ja nur eine Testumgebung war.
>
> Ich vermute fast, dass es an diesem Teil der Config liegt:
>
> #Server CA-Chain
> SSLCertificateChainFile /etc/apache2/globalsign.pem
> #Server Zertifikat
> SSLCertificateFile /etc/apache2/servercert.pem
> #Server Zertifikat-Key
> SSLCertificateKeyFile /etc/apache2/servercert.pem
>
> #CAs der Clients-Auth
> SSLCACertificateFile /etc/apache2/ClientServerCA.chain.pem
> #SSLCARevocationFile /etc/apache2/ClientServerCA-crl.pem
> SSLVerifyDepth 2
> SSLOptions +StdEnvVars
>
>
> Server-Zertifikat und Server-Zertifikat-Key ist die gleiche Datei?
jap.
> Ist nicht notwendig, siehe hier:
> http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcertificatekeyfi
jap. pure Faulheit ;)
> Welchen Client nimmst du?
> Ich habe meist mit Mozilla und Firefox getestet und dann erst mit IE
> und Konqueror.
bis dato nur nur Firefox(Iceweasel) und Konqueror. Windows muss ich zum
Glück auf Arbeit nurnoch selten booten ;)
Ich glaube bald, das ich mit der Sub-<Directory> und require Variante
leben muss und auch kann.
Die optional Variante hat eh eine nicht gut klingende Anmerkung:
***********
In practice only levels none and require are really interesting, because
level optional doesn't work with all browsers and level optional_no_ca
is actually against the idea of authentication (but can be used to
establish SSL test pages, etc.)
***********
Was mich allerdings am meisten wundert, warum selbst Require nur
innerhalb der <Directory> Angabe erkannt wird. Direkt im <VirtualHost>
Block wird es quasi ignoriert. Das wäre ja dann eigentlich ein Bug.
Vielleicht geht das ganze mal weiter in die Apache ML.
Erstmal muss ich den Kram jetzt mit den Signaturkarten+Smartcard-Reader
testen.
--
Markus Schulz
Heute glaubt anscheinend jeder, Programme seien Geister, die in kleinen
Totems wohnen und durch zweimaliges Berühren mit dem Mausfetisch
beschworen werden. Daher vermutlich das Unvermögen, ein Programm zu
starten, wenn das Totem verlorengegangen ist. (Thorsten Lange in
d.a.s.r.)
Reply to: