LINUX.ORG.RU
ФорумAdmin

Доступ к сайту через сертификат

 ,


1

2

Всем привет! Потребовалось организовать доступ к разделам сайта с запросом сертификата. Сертификат для домена купил «COMODO CA Limited»

Сгенерировал клиентские сертификаты по инструкции https://www.opennet.ru/base/sec/ssl_cert.txt.html

Ну пропустил только первый шаг где генерируются самоподписанный сертификат. Клиентские сертификаты импортируются, при переходе в нужную директорию сертификат клиента спрашивается и в тот момент когда авторизация прошла firefox пишет Код ошибки: SSL_ERROR_UNKNOWN_CA_ALERT

Настройка apache 

    SSLCertificateFile /etc/httpd/conf/site_kz.crt
	SSLCertificateKeyFile /etc/httpd/conf/5288714.key
	SSLCACertificateFile /etc/httpd/conf/site_kz.crt
    SSLCertificateChainFile /etc/httpd/conf/site_kz.ca-bundle


        <Location /admin>
            SSLVerifyClient require
        </Location>
        <Location /adminauth>
        	SSLVerifyClient require
        </Location>
Гугл говорит что проблема может изза самоподписанного сертификата, но сертификат то не самоподписанный, а нормальный. Куда можно покопать?



Последнее исправление: badil (всего исправлений: 1)
Не могу подключится к интернету
Nginx - ошибка при запуске

В sslcerfificatefile должен быть сертификат, полученный у comodo, в sslcertificatechainfile должна быть цепочка сертификации от корневого сертификата comodo (хотя цепочку сертификации обычно кладут вместе с сертификатом в sslcertificatefile), в sslcertificatekeyfile должен быть парный к сертификату приватный ключ. Все эти настройки относятся к подтверждению подлинности сервера.

Для аутентификации клиентов в sslcacertificatefile должен быть корневой сертификат твоего локального цс, который выдаёт сертификаты клиентам. Веб-сервер доверяет всем клиентским сертификатам, выданным этим цс. У тебя же там сейчас почему-то сертификат сервера, полученный от comodo, а не корневой сертификат локального цс.

Ошибку ssl_unknown_ca_alert генерирует сервер. Он ведь из-за неправильной настройки sslcacertificatefile не доверяет сертификатам, выданным твоим локальным цс.

iliyap ★★★★★
()
Последнее исправление: iliyap (всего исправлений: 2)
Ответ на: комментарий от iliyap

Спасибо! Сделал с учетом Ваших замечаний и заработало, но не совсем - теперь ошибка такая Узел сообщает об ошибке проверки подписи или обмена ключами. Код ошибки: SSL_ERROR_DECRYPT_ERROR_ALERT

badil
() автор топика
Ответ на: комментарий от badil

Какое-то несоответствие между клиентским сертификатом и корневым сертификатом локального цс, используемым сервером. Сервер видимо не может проверить подлинность клиентского сертификата. Проверь еще раз, что на сервере установлен именно корневой сертификат именно того цс, который выдавал клиентские сертификаты. Проверь, что клиентский сертификат содержит полную цепочку сертификации от корневого сертификата локального цс.

iliyap ★★★★★
()
Ответ на: комментарий от iliyap

Что самое интересное проверил в ИЕ - работатает а вот в других браузерах ошибка SSL_ERROR_DECRYPT_ERROR_ALERT

badil
() автор топика
Ответ на: комментарий от badil

Может быть браузеры перестали доверять подписям на md5 хеше, которые делает в сертификатах твой цс? Попробуй поменять настройки цс на использование sha-256 и перевыпустить клиентские сертификаты (обработать csr-ы еще раз).

iliyap ★★★★★
()
Ответ на: комментарий от iliyap

Поставил в ca.config 

default_md             = sha256

И все заработало. Большое спасибо!

badil
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Не могу подключится к интернету
Admin
Nginx - ошибка при запуске