On Fri, Jan 19, 2018 at 09:13:53AM +0100, Attila Pozsonyi wrote: Szervusz, Csapd hozzá a subCA certe(ke)t a /etc/zorp/ssl/cert.pem állományhoz, pl. # cat /tmp/subca1.pem /tmp/subca2.pem >>/etc/zorp/ssl/cert.pem -- Lajos János
Sziasztok!
Akadt egy kis problémám a 6.x.x verziójú Zorp tanúsítványkezelésével, nevezetesen a teljes tanúsítvány láncot szeretném a kliensnek elküldeni, ha megszólítja a servert. Régen ez nagyon egyszerű volt a ssl.client_ca_directory paraméterrel, de most nem boldogulok.
Remekül működik a dolog a client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile, stb. metódussal, de ez csak a "server" tanúsítványt mutatja fel a kliens felé, az root és a subCA-t nem.
Így néz ki az encryption policy-m:
EncryptionPolicy(name="BaseSSL_encryption_policy", encryption=ClientOnlyEncryption(client_verify=ClientNoneVerifier(), client_ssl_options=ClientSSLOptions(method=SSL_METHOD_ALL, cipher=SSL_CIPHERS_HIGH, timeout=300, disable_sslv2=TRUE, disable_sslv3=TRUE, disable_tlsv1=TRUE, disable_tlsv1_1=TRUE, disable_tlsv1_2=FALSE, session_cache_size=20480, disable_session_cache=TRUE, disable_ticket=TRUE), client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile(certificate_file_path="/etc/zorp/ssl/cert.pem", private_key=PrivateKey.fromFile("/etc/zorp/ssl/key.pem")))))
6.0.10-es release notes-ban olvastam, hogy a Zorp elküldi az intermediate CA cert-et is a server tanúsítvánnyal együtt. Kérdés, hogy hogyan? :)
Köszi
Üdv
Pozsonyi Attila
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu