On Fri, Jan 19, 2018 at 09:13:53AM +0100, Attila Pozsonyi wrote:
Szervusz,
Csapd hozzá a subCA certe(ke)t a /etc/zorp/ssl/cert.pem állományhoz, pl.
# cat /tmp/subca1.pem /tmp/subca2.pem >>/etc/zorp/ssl/cert.pem
--
Lajos János
> ______________________________
> Sziasztok!
>
> Akadt egy kis problémám a 6.x.x verziójú Zorp tanúsítványkezelésével,
> nevezetesen a teljes tanúsítvány láncot szeretném a kliensnek elküldeni, ha
> megszólítja a servert. Régen ez nagyon egyszerű volt a
> ssl.client_ca_directory paraméterrel, de most nem boldogulok.
>
> Remekül működik a dolog
> a client_certificate_generator=StaticCertificate(certificate= Certificate.fromFile,
> stb. metódussal, de ez csak a "server" tanúsítványt mutatja fel a kliens
> felé, az root és a subCA-t nem.
>
> Így néz ki az encryption policy-m:
>
> EncryptionPolicy(name="BaseSSL_encryption_policy",
> encryption=ClientOnlyEncryption(client_ verify=ClientNoneVerifier(),
> client_ssl_options=ClientSSLOptions(method=SSL_ METHOD_ALL,
> cipher=SSL_CIPHERS_HIGH, timeout=300, disable_sslv2=TRUE,
> disable_sslv3=TRUE, disable_tlsv1=TRUE, disable_tlsv1_1=TRUE,
> disable_tlsv1_2=FALSE, session_cache_size=20480,
> disable_session_cache=TRUE, disable_ticket=TRUE),
> client_certificate_generator=StaticCertificate(certificate= Certificate.fromFile( certificate_file_path="/etc/ zorp/ssl/cert.pem",
> private_key=PrivateKey.fromFile("/etc/zorp/ssl/key. pem")))))
>
> 6.0.10-es release notes-ban olvastam, hogy a Zorp elküldi az intermediate
> CA cert-et is a server tanúsítvánnyal együtt. Kérdés, hogy hogyan? :)
>
> Köszi
>
> Üdv
>
> Pozsonyi Attila
_________________
> zorp-hu mailing list
> zorp-hu@lists.balabit.hu
> https://lists.balabit.hu/mailman/listinfo/zorp-hu
_______________________________________________
zorp-hu mailing list
zorp-hu@lists.balabit.hu
https://lists.balabit.hu/mailman/listinfo/zorp-hu