Zorp 6.0.11 - tanúsítvány lánc
Sziasztok! Akadt egy kis problémám a 6.x.x verziójú Zorp tanúsítványkezelésével, nevezetesen a teljes tanúsítvány láncot szeretném a kliensnek elküldeni, ha megszólítja a servert. Régen ez nagyon egyszerű volt a ssl.client_ca_directory paraméterrel, de most nem boldogulok. Remekül működik a dolog a client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile, stb. metódussal, de ez csak a "server" tanúsítványt mutatja fel a kliens felé, az root és a subCA-t nem. Így néz ki az encryption policy-m: EncryptionPolicy(name="BaseSSL_encryption_policy", encryption=ClientOnlyEncryption(client_verify=ClientNoneVerifier(), client_ssl_options=ClientSSLOptions(method=SSL_METHOD_ALL, cipher=SSL_CIPHERS_HIGH, timeout=300, disable_sslv2=TRUE, disable_sslv3=TRUE, disable_tlsv1=TRUE, disable_tlsv1_1=TRUE, disable_tlsv1_2=FALSE, session_cache_size=20480, disable_session_cache=TRUE, disable_ticket=TRUE), client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile(certificate_file_path="/etc/zorp/ssl/cert.pem", private_key=PrivateKey.fromFile("/etc/zorp/ssl/key.pem"))))) 6.0.10-es release notes-ban olvastam, hogy a Zorp elküldi az intermediate CA cert-et is a server tanúsítvánnyal együtt. Kérdés, hogy hogyan? :) Köszi Üdv Pozsonyi Attila
On Fri, Jan 19, 2018 at 09:13:53AM +0100, Attila Pozsonyi wrote: Szervusz, Csapd hozzá a subCA certe(ke)t a /etc/zorp/ssl/cert.pem állományhoz, pl. # cat /tmp/subca1.pem /tmp/subca2.pem >>/etc/zorp/ssl/cert.pem -- Lajos János
Sziasztok!
Akadt egy kis problémám a 6.x.x verziójú Zorp tanúsítványkezelésével, nevezetesen a teljes tanúsítvány láncot szeretném a kliensnek elküldeni, ha megszólítja a servert. Régen ez nagyon egyszerű volt a ssl.client_ca_directory paraméterrel, de most nem boldogulok.
Remekül működik a dolog a client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile, stb. metódussal, de ez csak a "server" tanúsítványt mutatja fel a kliens felé, az root és a subCA-t nem.
Így néz ki az encryption policy-m:
EncryptionPolicy(name="BaseSSL_encryption_policy", encryption=ClientOnlyEncryption(client_verify=ClientNoneVerifier(), client_ssl_options=ClientSSLOptions(method=SSL_METHOD_ALL, cipher=SSL_CIPHERS_HIGH, timeout=300, disable_sslv2=TRUE, disable_sslv3=TRUE, disable_tlsv1=TRUE, disable_tlsv1_1=TRUE, disable_tlsv1_2=FALSE, session_cache_size=20480, disable_session_cache=TRUE, disable_ticket=TRUE), client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile(certificate_file_path="/etc/zorp/ssl/cert.pem", private_key=PrivateKey.fromFile("/etc/zorp/ssl/key.pem")))))
6.0.10-es release notes-ban olvastam, hogy a Zorp elküldi az intermediate CA cert-et is a server tanúsítvánnyal együtt. Kérdés, hogy hogyan? :)
Köszi
Üdv
Pozsonyi Attila
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
Szia! Köszi a tippet, működk! A vicc az, hogy korábban már próbáltam ezt a megközelítést és akkor hibára futottam. Mint kiderült azért, mert előre kerültek a CA cert-ek és csak az utolsó volt a server cert maga. Feltételezem, hogy az első helyen szereplő cert-el próbálja összepárosítani a privát kulcsot, ami így értelem szerűen nem egy működőképes dolog. Üdv Pozsonyi Attila 2018. január 22. 9:56 LAJOS Janos írta, <lajos.janos@madeit.hu>:
On Fri, Jan 19, 2018 at 09:13:53AM +0100, Attila Pozsonyi wrote:
Szervusz,
Csapd hozzá a subCA certe(ke)t a /etc/zorp/ssl/cert.pem állományhoz, pl.
# cat /tmp/subca1.pem /tmp/subca2.pem >>/etc/zorp/ssl/cert.pem
-- Lajos János
Sziasztok!
Akadt egy kis problémám a 6.x.x verziójú Zorp tanúsítványkezelésével, nevezetesen a teljes tanúsítvány láncot szeretném a kliensnek elküldeni, ha megszólítja a servert. Régen ez nagyon egyszerű volt a ssl.client_ca_directory paraméterrel, de most nem boldogulok.
Remekül működik a dolog a client_certificate_generator=StaticCertificate(certificate= Certificate.fromFile, stb. metódussal, de ez csak a "server" tanúsítványt mutatja fel a kliens felé, az root és a subCA-t nem.
Így néz ki az encryption policy-m:
EncryptionPolicy(name="BaseSSL_encryption_policy", encryption=ClientOnlyEncryption(client_verify=ClientNoneVerifier(), client_ssl_options=ClientSSLOptions(method=SSL_METHOD_ALL, cipher=SSL_CIPHERS_HIGH, timeout=300, disable_sslv2=TRUE, disable_sslv3=TRUE, disable_tlsv1=TRUE, disable_tlsv1_1=TRUE, disable_tlsv1_2=FALSE, session_cache_size=20480, disable_session_cache=TRUE, disable_ticket=TRUE), client_certificate_generator=StaticCertificate(certificate= Certificate.fromFile(certificate_file_path="/etc/zorp/ssl/cert.pem", private_key=PrivateKey.fromFile("/etc/zorp/ssl/key.pem")))))
6.0.10-es release notes-ban olvastam, hogy a Zorp elküldi az intermediate CA cert-et is a server tanúsítvánnyal együtt. Kérdés, hogy hogyan? :)
Köszi
Üdv
Pozsonyi Attila
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
participants (2)
-
Attila Pozsonyi
-
LAJOS Janos