On Wed, Feb 18, 2004 at 12:35:45PM +0000, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
Ha megnezzuk az emlitett cimet, akkor lathato, hogy sajat maguknak krealtak egy certificate-et, ami asp1 nevre van kiallitva, mikozben a site neve asp.ksh.hu. Tudnal mutatni egy olyan konfigot, amely ehhez az esethez jol van beallitva?
Először is lássuk be, hogy valamely szervezettel vagy emberrel kapcsolatos -akár jogos- ellenszenved kiélésére nem ez a lista való.
Nem tudom es nem is ertem, hogy mirol beszelsz. Orulnek neki, ha megvilagitanad - akar maganban is -, hogy mire gondoltal.
A kérdésedet ontopic módon így tudom értelmezni: """ Van egy saját gyártmányú certem, ami "asp1" névre van kiállítva. Valamiért szeretném ha a szerveren ugyanez a cert maradna, ugyanakkor a külvilág számára szeretnék egy korrekt certet mutatni. """
Megprobalom ujra leirni a kerdesemet: a ksh-nak van egy https szervere, amely az asp.ksh.hu:18180 cimen figyel. Ha megnezed, akkor latni fogod, hogy asp1 neve kiallitott, altaluk "gyartott" certificate-je van. En nem tudok helyettuk mas certificate-et mutatni a vilagnak, viszont biztositanom kell, hogy az en tuzfalam mogott ulok biztonsagosan elerhessek az asp.ksh.hu:18180 cimen levo https szervert. Mikeppen konfiguralod ehhez a tuzfaladat?
Mint mindannyian tudjuk, ebben az esetben a pssl használata, és a korrekt certtel való átkulcsolás a megoldás.
Nekem az a feladatom, hogy ellenorizzem az asp.ksh.hu altal mutatott certificate-et, nem akarok atkulcsolni semmit. Az ettol szerintem teljesen fuggetlen kerdes, hogy a tuzfal mogott ulo usereim nem az asp.ksh.hu altal mutatott certificate-et fogjak latni, hanem azt, amit en (mint tuzfal) mutatok nekik.
# put the allowed CAs' certs into this directory, so # only the good servers will be allowed, for instance # if you only put verysign CA cert here, only those # servers will be allowed, which owns VS certs # WARNING: never allow sef singed certs;-)))) # you can gain CA certs form apache-ssl deb package # put here the cert of the CA which signed the server # key, or set server_verify_type to NONE self.server_ca_directory = '/etc/zorp/ca.d/'
Szoval ugy valositanad meg, hogy a certjet bemasolod a /etc/zorp/ca.d/ konyvtarba.
Ha a levél végén lévő patchet alkalmazod (emlékezetből írtam, lehet
Kulonbozo okok miatt nem all modomban patchelni.
hogy nem is fordul, a következő unoff zorpban benne lesz tesztelve), akkor a MyHttpProxyban a pssl client_cert attribútuma alapján eldöntheted, hogy egyáltalán odaengeded-e józsit a szerverhez.
Nem ertetted a kerdest. Oda kell engednem a usereket a ksh szerverehez, de ellenorizni szeretnem a kapcsolatot. -- Udvozlettel Zsiga