[linux-support] apache SSLv3 vs. TLSv1
René Moser
rene.moser at hogrefe.ch
Mon Sep 15 08:42:16 CEST 2008
Hi Markus
Für mich sieht das aus als ob er das cert der CA nicht lese/finden kann.
Daher blöde frage: Permissions?
und vielleicht noch versuchen:
http://www.apache-ssl.org/docs.html#SSLCACertificatePath
zudem würd ich noch
http://www.apache-ssl.org/docs.html#SSLVerifyDepth
Markus Wernig wrote:
> Hallo allerseits
>
> Ich komme bei folgendem Problem nicht weiter, evtl. hat jemand weniger
> Tomaten auf den Augen als ich ;-)
>
> Ich habe 2 Apache (2.2.9) Server, beide machen brav SSL und sind nach
> meinem Verständnis identisch aufgesetzt (Name-based virtual hosts, d.h.
> alle SSL-VirtualHosts zeigen dasselbe Zertifikat, nämlich das des ersten
> VirtualHosts).
>
> Jetzt will ich Client Authentication auf beiden enablen, kann das auch
> konfigurieren (natürlich beiderseits identisch):
>
> Innerhalb des VirtualHost:
>
> <Location /secure/>
> SSLRequireSSL
> SSLVerifyClient optional
> SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
> +StdEnvVars
> </Location>
>
> Mein Problem: Auf dem einen funktioniert das wie erwartet, auf dem
> andern nicht. Ich habe alle Konfig-Optionen abgeglichen (auch den Inhalt
> des SSLCACertificatePath), erhalte bei einem im Browser aber die
> Fehlermeldung
> "SSL peer cannot verify your certificate.
> (Error code: ssl_error_bad_cert_alert)"
>
> Im SSL Logfile findet sich:
> [14/Sep/2008:17:36:49 +0200] 77.57.78.182 SSLv3 - - - "GET
> /secure/index.php HTTP/1.1" -
>
> Im Error Logfile:
> [Sun Sep 14 17:36:49 2008] [info] Initial (No.1) HTTPS request received
> for child 85 (server server.name.tld:443)
> [Sun Sep 14 17:36:49 2008] [debug] ssl_engine_kernel.c(426): Changed
> client verification type will force renegotiation
> [Sun Sep 14 17:36:49 2008] [info] Requesting connection re-negotiation
> [Sun Sep 14 17:36:49 2008] [debug] ssl_engine_kernel.c(616): Performing
> full renegotiation: complete handshake protocol
> [Sun Sep 14 17:36:49 2008] [info] Awaiting re-negotiation handshake
> [Sun Sep 14 17:36:51 2008] [error] Re-negotiation handshake failed: Not
> accepted by client!?
>
> (Habe mehrfach geprüft: Der Browser akzeptiert das Server Zertifikat
> inkl. CA als vertrauenswürdig, und auch im SSLCACertificatePath sind die
> richtigen CA Certificates inkl. der entsprechenden Symlinks für das
> Client certificate.)
>
> Der einzige Unterschied erscheint im SSL Logfile des funktionierenden
> Servers:
> [14/Sep/2008:17:32:01 +0200] 77.57.78.182 TLSv1 DHE-RSA-AES256-SHA
> issuer.cn client.cn "GET /secure/index.php HTTP/1.1" -
>
> Es tauchen also neben den Zertifikatsinformationen (issuer.cn client.cn)
> auch die Protokoll- und Cipher-Information auf. Und das Protokoll steht
> auf "TLSv1", während beim nicht funktionierenden dort "SSLv3" steht. Es
> sieht so aus, als ob die Client Authentication nur mit TLSv1
> funktioniert, der nicht funktionierende Server dieses Protokoll aber gar
> nicht verhandelt. Wenn ich dort "SSLProtocol -all +TLSv1" konfiguriere,
> erhalte ich auch eine andere Fehlermeldung (Data Transfer Interrupted).
> Wenn ich dasselbe auf dem funktionierenden Server mache, funktioniert
> alles weiter.
>
> openssl s_client zeigt leider bei beiden Servern "Protocol: TLSv1"
> beim Connect.
>
> Hat jemand einen Tipp für mich, wo ich noch suchen kann?
>
> thx /markus
>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Linux-support mailing list
> Linux-support at lugbe.ch
> http://maillists.lugbe.ch/mailman/listinfo/linux-support
--
rene moser
dipl. informatiktechniker hf
hogrefe ag suisse
informatik & organisation
laenggassstrasse 76
3012 bern - switzerland
phone: +41 31 300 46 30
More information about the Linux-support
mailing list