<div dir="ltr">Szia!<div><br></div><div>Köszi a tippet, működk! A vicc az, hogy korábban már próbáltam ezt a megközelítést és akkor hibára futottam. Mint kiderült azért, mert előre kerültek a CA cert-ek és csak az utolsó volt a server cert maga. Feltételezem, hogy az első helyen szereplő cert-el próbálja összepárosítani a privát kulcsot, ami így értelem szerűen nem egy működőképes dolog.</div><div><br></div><div>Üdv</div><div><br></div><div>Pozsonyi Attila</div></div><div class="gmail_extra"><br><div class="gmail_quote">2018. január 22. 9:56 LAJOS Janos írta, <span dir="ltr"><<a href="mailto:lajos.janos@madeit.hu" target="_blank">lajos.janos@madeit.hu</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Fri, Jan 19, 2018 at 09:13:53AM +0100, Attila Pozsonyi wrote:<br>
<br>
Szervusz,<br>
<br>
Csapd hozzá a subCA certe(ke)t a /etc/zorp/ssl/cert.pem állományhoz, pl.<br>
<br>
# cat /tmp/subca1.pem /tmp/subca2.pem >>/etc/zorp/ssl/cert.pem<br>
<br>
--<br>
Lajos János<br>
<div><div class="h5"><br>
<br>
> Sziasztok!<br>
><br>
> Akadt egy kis problémám a 6.x.x verziójú Zorp tanúsítványkezelésével,<br>
> nevezetesen a teljes tanúsítvány láncot szeretném a kliensnek elküldeni, ha<br>
> megszólítja a servert. Régen ez nagyon egyszerű volt a<br>
> ssl.client_ca_directory paraméterrel, de most nem boldogulok.<br>
><br>
> Remekül működik a dolog<br>
> a client_certificate_generator=<wbr>StaticCertificate(certificate=<wbr>Certificate.fromFile,<br>
> stb. metódussal, de ez csak a "server" tanúsítványt mutatja fel a kliens<br>
> felé, az root és a subCA-t nem.<br>
><br>
> Így néz ki az encryption policy-m:<br>
><br>
> EncryptionPolicy(name="<wbr>BaseSSL_encryption_policy",<br>
> encryption=<wbr>ClientOnlyEncryption(client_<wbr>verify=ClientNoneVerifier(),<br>
> client_ssl_options=<wbr>ClientSSLOptions(method=SSL_<wbr>METHOD_ALL,<br>
> cipher=SSL_CIPHERS_HIGH, timeout=300, disable_sslv2=TRUE,<br>
> disable_sslv3=TRUE, disable_tlsv1=TRUE, disable_tlsv1_1=TRUE,<br>
> disable_tlsv1_2=FALSE, session_cache_size=20480,<br>
> disable_session_cache=TRUE, disable_ticket=TRUE),<br>
> client_certificate_generator=<wbr>StaticCertificate(certificate=<wbr>Certificate.fromFile(<wbr>certificate_file_path="/etc/<wbr>zorp/ssl/cert.pem",<br>
> private_key=PrivateKey.<wbr>fromFile("/etc/zorp/ssl/key.<wbr>pem")))))<br>
><br>
> 6.0.10-es release notes-ban olvastam, hogy a Zorp elküldi az intermediate<br>
> CA cert-et is a server tanúsítvánnyal együtt. Kérdés, hogy hogyan? :)<br>
><br>
> Köszi<br>
><br>
> Üdv<br>
><br>
> Pozsonyi Attila<br>
<br>
</div></div>> ______________________________<wbr>_________________<br>
> zorp-hu mailing list<br>
> <a href="mailto:zorp-hu@lists.balabit.hu">zorp-hu@lists.balabit.hu</a><br>
> <a href="https://lists.balabit.hu/mailman/listinfo/zorp-hu" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/zorp-hu</a><br>
______________________________<wbr>_________________<br>
zorp-hu mailing list<br>
<a href="mailto:zorp-hu@lists.balabit.hu">zorp-hu@lists.balabit.hu</a><br>
<a href="https://lists.balabit.hu/mailman/listinfo/zorp-hu" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/zorp-hu</a><br>
</blockquote></div><br></div>