Hello! Kernel 2.4.31, Sarge, 3.0.8 portolva Sarge-ra. Mukodni latszik egyelore. De a https reszenel elakadtam. Pontosabban a sajat generalasu certificate-ekkel van problema. A 2.1.8-as verzioban ez a policy mukodott: class IntraHttps(PsslProxy): class EmbeddedHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = TRUE def config(self): self.server_need_ssl = TRUE self.server_verify_type = SSL_VERIFY_REQUIRED_TRUSTED self.server_ca_directory = '/etc/zorp/ca.crt' self.client_need_ssl = TRUE self.client_cert = '/etc/zorp/fw.crt' self.client_key = '/etc/zorp/fw.key' self.client_verify_type = SSL_VERIFY_NONE self.stack_proxy = self.EmbeddedHttp self.server_verify_depth = 2 Amelyik CA certificate-et beraktam a /etc/zorp/ca.crt konyvtarba, azt problema nelkul atengedte. Most nem :( Kiprobaltam egy olyan konfigot is, amely a fizetos 3.0.7-es verzioju zorppal mukodott, de az sem mukodik :( Ezt mondja: Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): NameError: global name 'os' is not defined A kerdesem: hogyan lehet sajat magunk altal generalt certificate-et hasznalo webszerverekre iranyulo forgalmat atengedni? -- Udvozlettel Zsiga
Hi! On Wed, 2005-11-23 at 13:04 +0100, Kosa Attila wrote:
Kiprobaltam egy olyan konfigot is, amely a fizetos 3.0.7-es verzioju zorppal mukodott, de az sem mukodik :( Ezt mondja:
Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): NameError: global name 'os' is not defined
Ez azert furcsa, mert is.listdir csak a fizetos SSL-ben van. Nincs egy kicsit keverve a GPL-es zorp es a commercial? Milyen hosszu a Pssl.py? -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
On Wed, Nov 23, 2005 at 01:14:27PM +0100, Szalay Attila wrote:
On Wed, 2005-11-23 at 13:04 +0100, Kosa Attila wrote:
Kiprobaltam egy olyan konfigot is, amely a fizetos 3.0.7-es verzioju zorppal mukodott, de az sem mukodik :( Ezt mondja:
Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): NameError: global name 'os' is not defined
Ez azert furcsa, mert is.listdir csak a fizetos SSL-ben van.
Mint fentebb is latszik, fizetos zorppal mukodott ez a konfig, de a gpl-essel nem mukodik.
Nincs egy kicsit keverve a GPL-es zorp es a commercial?
Termeszetesen nincs, es serto meg a feltetelezes is!
Milyen hosszu a Pssl.py?
7133 byte. -- Udvozlettel Zsiga
On Wed, 2005-11-23 at 13:24 +0100, Kosa Attila wrote:
On Wed, Nov 23, 2005 at 01:14:27PM +0100, Szalay Attila wrote:
On Wed, 2005-11-23 at 13:04 +0100, Kosa Attila wrote:
Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): NameError: global name 'os' is not defined
Termeszetesen nincs, es serto meg a feltetelezes is!
Nem ugy ertettem. (Egyebkent se mukodne a dolog). Csak mondjuk ugyanazon a rendszeren kiprobaltad a pro-t is, hogy azzal mukodik-e es van mondjuk egy hiba a zorp telepitojeben...
Milyen hosszu a Pssl.py?
7133 byte.
Hmm. Ez stimmel. Akkor viszont kellene az elobbi Exception a teljes valojaban... -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
On Wed, Nov 23, 2005 at 01:34:47PM +0100, Szalay Attila wrote:
On Wed, 2005-11-23 at 13:24 +0100, Kosa Attila wrote:
Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): NameError: global name 'os' is not defined
Termeszetesen nincs, es serto meg a feltetelezes is!
Nem ugy ertettem. (Egyebkent se mukodne a dolog). Csak mondjuk ugyanazon a rendszeren kiprobaltad a pro-t is, hogy azzal mukodik-e es van mondjuk egy hiba a zorp telepitojeben...
Nem probaltam ki.
Akkor viszont kellene az elobbi Exception a teljes valojaban...
Az altalam bekuldott konfig majdnem teljes egeszeben ugyanaz, mint ami a 3.0.8-as zorp-doc csomagban megtalalhato. Csak eppen nem mukodik :( Ez a hibauzenet (holott a CA kulcsa biztosan megvan, mert az elozo verzioval gond nelkul mukodott): Nov 23 13:39:01 fw zorp_https[14707]: (zorp_https@zorp-https@domain.hu/intra_https:0/pssl): Certificate verification error; subject='', issuer='', errcode='20', error='unable to get local issuer certificate' Nov 23 13:39:01 fw zorp_https[14707]: (zorp_https@zorp-https@domain.hu/intra_https:0/pssl): SSL handshake failed on the server side; error='error:14090086:SSL routines:lib(20):SSL3_GET_SERVER_CERTIFICATE:func(144):certificate verify failed: reason(134)' A legelso (idezett) hibauzenet a fizetos - 3.0.7-es verzioju - zorp konfigjara erkezett. Arra a konfigra is szukseged lenne? Nekem az is megfelelne, ha a doksiban irt pelda mukodne :) -- Udvozlettel Zsiga
On Wed, 2005-11-23 at 13:47 +0100, Kosa Attila wrote:
Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): NameError: global name 'os' is not defined
A legelso (idezett) hibauzenet a fizetos - 3.0.7-es verzioju - zorp konfigjara erkezett. Arra a konfigra is szukseged lenne?
A fent, tobb level ota hurcolt log reszlet nem teljes. Hianyzik belole egy csomo minden, foleg az, hogy mely file-ban van a problema. Ezert a fenti logreszlet egy nagyobb sugaru korbol vett mintajara lenne szuksegem. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
On Wed, Nov 23, 2005 at 01:51:34PM +0100, Szalay Attila wrote:
On Wed, 2005-11-23 at 13:47 +0100, Kosa Attila wrote:
Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): NameError: global name 'os' is not defined
A legelso (idezett) hibauzenet a fizetos - 3.0.7-es verzioju - zorp konfigjara erkezett. Arra a konfigra is szukseged lenne?
A fent, tobb level ota hurcolt log reszlet nem teljes. Hianyzik belole egy csomo minden, foleg az, hogy mely file-ban van a problema. Ezert a fenti logreszlet egy nagyobb sugaru korbol vett mintajara lenne szuksegem.
A teljes hibauzenet: Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): Traceback (most recent call last): Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): File "/etc/zorp/policy-https.py", line 47, in config Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): self.readTrustedCerts('/etc/zorp/trusted_crts') Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): File "/etc/zorp/policy-https.py", line 65, in readTrustedCerts Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): NameError: global name 'os' is not defined Es a hozza tartozo konfig: class IntraHttps(PsslProxy): class EmbeddedHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = TRUE def config(self): PsslProxy.config(self) self.server_need_ssl = TRUE self.server_verify_type = SSL_VERIFY_REQUIRED_TRUSTED self.server_ca_directory = '/etc/zorp/ca.crt' self.readTrustedCerts('/etc/zorp/trusted_crts') self.server_handshake['verify_cert'] = (PSSL_HS_POLICY, self.verifyTrustedCertServer) self.client_need_ssl = TRUE self.client_cert = '/etc/zorp/fw.crt' self.client_key = '/etc/zorp/fw.key' self.client_verify_type = SSL_VERIFY_NONE self.stack_proxy = self.EmbeddedHttp self.server_verify_depth = 2 def verifyTrustedCertServer(self, side, verify_results): res = self.verifyTrustedCert(side, verify_results, self.server_trusted_certs_directory, self.server_peer_certificate.blob) if res == PSSL_HS_VERIFIED or (res == PSSL_HS_ACCEPT and verify_results[0]): self.server_certificate_trusted = TRUE return res def readTrustedCerts(self, trusted_ip_dir): try: self.trusted_certs = {} files = os.listdir(trusted_ip_dir) i = 0 for file in files: pem = self.readPEM(trusted_ip_dir + '/' + file) self.trusted_certs[file] = pem except IOError: proxyLog(self, PSSL_ERROR, 3, "Error reading trusted certificate directory; dir='%s'" % trusted_ip_dir) -- Udvozlettel Zsiga
On Wed, 2005-11-23 at 14:48 +0100, Kosa Attila wrote:
A teljes hibauzenet:
Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): Traceback (most recent call last): Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): File "/etc/zorp/policy-https.py", line 47, in config Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): self.readTrustedCerts('/etc/zorp/trusted_crts') Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): File "/etc/zorp/policy-https.py", line 65, in readTrustedCerts Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 13:09:09 fw zorp_https[8089]: (Log thread): NameError: global name 'os' is not defined
A etc/zorp/policy-https.py elejere ird be, hogy import os -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
On Wed, Nov 23, 2005 at 02:51:47PM +0100, Szalay Attila wrote:
A etc/zorp/policy-https.py elejere ird be, hogy import os
Most ez az uzenet: Nov 23 15:34:53 fw zorp_https[3361]: (Log thread): Traceback (most recent call last): Nov 23 15:34:53 fw zorp_https[3361]: (Log thread): File "/etc/zorp/policy-https.py", line 49, in config Nov 23 15:34:53 fw zorp_https[3361]: (Log thread): self.server_handshake['verify_cert'] = (PSSL_HS_POLICY, self.verifyTrustedCertServer) Nov 23 15:34:53 fw zorp_https[3361]: (Log thread): NameError: global name 'PSSL_HS_POLICY' is not defined -- Udvozlettel Zsiga
On Wed, 2005-11-23 at 15:43 +0100, Kosa Attila wrote:
Most ez az uzenet:
Mondjuk ugy, hogy ez az config a commercial zorp-hoz lett keszitve es GPL-es zorp-nal nem tamogatott. :) A self.handshake attributum ugyanis csak a commercial-ban van. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
On Wed, Nov 23, 2005 at 04:09:00PM +0100, Szalay Attila wrote:
On Wed, 2005-11-23 at 15:43 +0100, Kosa Attila wrote:
Most ez az uzenet:
Mondjuk ugy, hogy ez az config a commercial zorp-hoz lett keszitve es GPL-es zorp-nal nem tamogatott. :)
Ezzel kezdtem... Ezert nem ertettem, hogy miert van szukseged a hibauzenet tobbi reszere. Engem viszont az erdekelne, hogy hogyan lehet hasonlo funkcionalitast megvalositani gpl-es zorp alatt. -- Udvozlettel Zsiga
Kosa Attila wrote:
On Wed, Nov 23, 2005 at 04:09:00PM +0100, Szalay Attila wrote:
On Wed, 2005-11-23 at 15:43 +0100, Kosa Attila wrote:
Most ez az uzenet:
Mondjuk ugy, hogy ez az config a commercial zorp-hoz lett keszitve es GPL-es zorp-nal nem tamogatott. :)
Ezzel kezdtem... Ezert nem ertettem, hogy miert van szukseged a hibauzenet tobbi reszere.
szerintem azért, mert Sasa is arra gyanakodott, amire én, az "os" hivatkozáskor: hogy nincsen meg a modul. Én azt gondoltam, hogy sérült lehet a python modul, ő meg nem találgatott, hanem elkérte a logot és megállapította, hogy nincs beimportálva az elején... tehát megvan a fájlrendszer valszeg, csak nem lett behúzva. üdv, Ago
On Wed, Nov 23, 2005 at 07:34:42PM +0000, Deim Ágoston wrote:
Kosa Attila wrote:
On Wed, Nov 23, 2005 at 04:09:00PM +0100, Szalay Attila wrote:
Mondjuk ugy, hogy ez az config a commercial zorp-hoz lett keszitve es GPL-es zorp-nal nem tamogatott. :)
Ezzel kezdtem... Ezert nem ertettem, hogy miert van szukseged a hibauzenet tobbi reszere.
szerintem azért, mert Sasa is arra gyanakodott, amire én, az "os" hivatkozáskor: hogy nincsen meg a modul. Én azt gondoltam, hogy sérült
Csak en megneztem a Pssl.py fajlban, hogy a fizetosben letezik a PSSL_HS_POLICY, a gpl-esben pedig nem :) Ebbol tudtam, hogy az a konfig nem is fog ugy mukodni, ezert feszegetnem inkabb a doksiban is talalhato pelda mukodove tetelet. -- Udvozlettel Zsiga
A etc/zorp/policy-https.py elejere ird be, hogy import os
megnyugtat, hogy mégsem vagyok teljesen hülye és én sem szakadtam el a parancssortól :) De bónusz szituáció és ehhez kérdés a témához kapcsolódóan: ügyfélnél rendszergizda belenyúlt konfigba kézzel. Semmi különöst nem csinált, amit guival ne tudott volna megtenni. ZMC-ben előtte beállította, hogy a policy.py-t ne kezelje a ZMC. (most az értelmet ne keressük a tettekben). Viszont neki is dobott hibát. Illetva a gui-ban látta, mikor újraindították onnan a Zorp instancet, hogy nem indul el. De hibát nem kaptak vissza. Akkor a kérdés: tervezitek, hogy valamikor GUI-n is látható hibaüzenetet ad majd a GUI, mondjuk a kivételt visszaköppi egy mezőben vagy ad egy általánosabb hibakódot, ami alapján el lehet indulni, ha betelefonál ügyfél a "nem megy" kimerítő válasszal? Vagy ez marad feature, hogy tényleg olyanok turkáljanak benne, akik értenek is hozzá, aki pedig csak ZMC-t kezeli, többé kevésbé, az hívja fel ezeket az embereket? Ez most komoly kérdés volt, nem cinikus vagy ironikus. üdv, Ago
On Wed, 2005-11-23 at 17:27 +0100, Deim Ágoston wrote:
A etc/zorp/policy-https.py elejere ird be, hogy import os
Akkor a kérdés: tervezitek, hogy valamikor GUI-n is látható hibaüzenetet ad majd a GUI, mondjuk a kivételt visszaköppi egy mezőben vagy ad egy általánosabb hibakódot, ami alapján el lehet indulni, ha betelefonál ügyfél a "nem megy" kimerítő válasszal? Vagy ez marad feature, hogy tényleg olyanok turkáljanak benne, akik értenek is hozzá, aki pedig csak ZMC-t kezeli, többé kevésbé, az hívja fel ezeket az embereket? Ez most komoly kérdés volt, nem cinikus vagy ironikus.
A legfrissebb 3.0.x-es verziokban mar latszik, hogy ha egy instance nem indult el (kis felkialtojel a zorpctl kimeneteben). A 3.1-ben lesz statusz kijelzes, ahol latszik hogy melyik peldany fut, illetve lognezegeto plugin, amivel meg lehet nezni a logot. A zorp jelenleg nem rakja ki stdout-ra a logot, amit meg lehetne tenni az egy "tail -1000 /var/log/messages | fgrep instance" parancs kiadasa sikertelen inditas eseten, bar ez sem tokeletes megoldas. -- Bazsi
Balazs Scheidler wrote:
On Wed, 2005-11-23 at 17:27 +0100, Deim Ágoston wrote:
A etc/zorp/policy-https.py elejere ird be, hogy import os
Akkor a kérdés: tervezitek, hogy valamikor GUI-n is látható hibaüzenetet ad majd a GUI, mondjuk a kivételt visszaköppi egy mezőben vagy ad egy általánosabb hibakódot, ami alapján el lehet indulni, ha betelefonál ügyfél a "nem megy" kimerítő válasszal? Vagy ez marad feature, hogy tényleg olyanok turkáljanak benne, akik értenek is hozzá, aki pedig csak ZMC-t kezeli, többé kevésbé, az hívja fel ezeket az embereket? Ez most komoly kérdés volt, nem cinikus vagy ironikus.
A legfrissebb 3.0.x-es verziokban mar latszik, hogy ha egy instance nem indult el (kis felkialtojel a zorpctl kimeneteben). A 3.1-ben lesz
ja, köszi, ez megvan. idáig az okos is eljutott :) Csak én meg vártam volna egy stack üzenetet, de azt meg nehéz volt neki elmagyarázni, hogy miért kell nekem.
statusz kijelzes, ahol latszik hogy melyik peldany fut, illetve lognezegeto plugin, amivel meg lehet nezni a logot.
ezek viszont jó és hasznos funkciók, várom őket :)
A zorp jelenleg nem rakja ki stdout-ra a logot, amit meg lehetne tenni az egy "tail -1000 /var/log/messages | fgrep instance" parancs kiadasa sikertelen inditas eseten, bar ez sem tokeletes megoldas.
hát, jó, főleg, ha GUI-ba várja az ember a visszacsatolást :) üdv, Ago
esetleg a zmc-vel generált fájl lett behúzva. De tök mindegy. Nem más a hiba? A global name "os" nem a leírt feltételezésre utal. üdv, Ago --
Hi!
On Wed, 2005-11-23 at 13:04 +0100, Kosa Attila wrote:
Kiprobaltam egy olyan konfigot is, amely a fizetos 3.0.7-es verzioju zorppal mukodott, de az sem mukodik :( Ezt mondja:
Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): files = os.listdir(trusted_ip_dir) Nov 23 12:53:32 fw zorp_https[5117]: (Log thread): NameError: global name 'os' is not defined
Ez azert furcsa, mert is.listdir csak a fizetos SSL-ben van. Nincs egy kicsit keverve a GPL-es zorp es a commercial? Milyen hosszu a Pssl.py?
-- Szalay Attila BalaBit IT BiztonsĂĄgtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/ _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
On Wed, Nov 23, 2005 at 01:27:27PM +0100, Deim Ágoston wrote:
esetleg a zmc-vel generált fájl lett behúzva. De tök mindegy. Nem más a
Nem hasznalok ilyesmit. Bocs, ha a lelkivilágodba gázoltam :) Arra gondoltam ,hogy van egy ilyen konfig, ami ZMC-vel generálódott és benne hagyott olyan opciókat, ami
Sokkal többet anyázna logba és más üzenetet, de mégis, nem a python "os" mdulja sérült meg? Vagy nem lett behúzva valahol? Anélkül nehezen fog megtalálni fájlokat és behűzni azokat merevlemezen. üdv, Ago
On Wed, Nov 23, 2005 at 01:04:11PM +0100, Kosa Attila wrote:
Kernel 2.4.31, Sarge, 3.0.8 portolva Sarge-ra. Mukodni latszik egyelore. De a https reszenel elakadtam. Pontosabban a sajat generalasu certificate-ekkel van problema. A 2.1.8-as verzioban ez a policy mukodott:
class IntraHttps(PsslProxy): class EmbeddedHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = TRUE
def config(self): self.server_need_ssl = TRUE self.server_verify_type = SSL_VERIFY_REQUIRED_TRUSTED self.server_ca_directory = '/etc/zorp/ca.crt' self.client_need_ssl = TRUE self.client_cert = '/etc/zorp/fw.crt' self.client_key = '/etc/zorp/fw.key' self.client_verify_type = SSL_VERIFY_NONE self.stack_proxy = self.EmbeddedHttp self.server_verify_depth = 2
Amelyik CA certificate-et beraktam a /etc/zorp/ca.crt konyvtarba, azt problema nelkul atengedte. Most nem :(
Gyakorlatilag semmilyen https oldalt nem lehet elerni a fenti konfigon keresztul. Ugy tunik, hogy a self.server_ca_directory beallitast teljesen figyelmen kivul hagyja. Kezd egetove valni a problema :) 10-es debuglevel-en keszult log (a felesleges informaciokat kiszedtem a fajlbol): http://members.chello.hu/kosa.attila/zorp.log -- Udvozlettel Zsiga
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Kosa Attila wrote:
10-es debuglevel-en keszult log (a felesleges informaciokat kiszedtem a fajlbol): http://members.chello.hu/kosa.attila/zorp.log
Zorp milyen user-kent fut? CA konyvtar jogosultsagai? MCS -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDhbX6k78G1BHnShURAqSIAKCZGQsXhFZ/RYnVLEdQJYgiILLuRQCfVcmI nDb7FSL2MdsLcZLDKesKfLA= =Mlub -----END PGP SIGNATURE-----
On Thu, Nov 24, 2005 at 01:45:46PM +0100, Major Csaba wrote:
Kosa Attila wrote:
10-es debuglevel-en keszult log (a felesleges informaciokat kiszedtem a fajlbol): http://members.chello.hu/kosa.attila/zorp.log
Zorp milyen user-kent fut? CA konyvtar jogosultsagai?
Root-kent fut. A ca.crt konytar jogai 0640. Atallitottam 0700-ra es jo. Megneztem, a .deb csomag postinst szkriptje allitotta at... Talan nem jo otlet a "chmod 640 /etc/zorp/*" :) Koszonom a segitseget. -- Udvozlettel Zsiga
Kosa Attila wrote:
Root-kent fut. A ca.crt konytar jogai 0640. Atallitottam 0700-ra es jo. Megneztem, a .deb csomag postinst szkriptje allitotta at... Talan nem jo otlet a "chmod 640 /etc/zorp/*" :)
Ez szerencsere csak a GPL-esben van benne. Felvettem a bugzilla-ba rola egy hibajegyet. -- Gellér Sándor wildy@balabit.hu
On Thu, Nov 24, 2005 at 01:42:26PM +0100, Kosa Attila wrote:
On Wed, Nov 23, 2005 at 01:04:11PM +0100, Kosa Attila wrote:
Kernel 2.4.31, Sarge, 3.0.8 portolva Sarge-ra. Mukodni latszik egyelore. De a https reszenel elakadtam. Pontosabban a sajat generalasu certificate-ekkel van problema. A 2.1.8-as verzioban ez a policy mukodott:
class IntraHttps(PsslProxy): class EmbeddedHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = TRUE
def config(self): self.server_need_ssl = TRUE self.server_verify_type = SSL_VERIFY_REQUIRED_TRUSTED self.server_ca_directory = '/etc/zorp/ca.crt' self.client_need_ssl = TRUE self.client_cert = '/etc/zorp/fw.crt' self.client_key = '/etc/zorp/fw.key' self.client_verify_type = SSL_VERIFY_NONE self.stack_proxy = self.EmbeddedHttp self.server_verify_depth = 2 szia,
alap kerdes, de ugye a ca directoryban megvannak a hash symlinkek? valami ilyesmire gondolok: ssl/ca/certs/netlock_class-b_cacert.pem ssl/ca/certs/5a5372fc.0 -> netlock_class-b_cacert.pem mert a hash filenevre harap az ssl konyvtar hash-t igy tudsz kepezni pl.: openssl x509 -noout -hash -in netlock_class-b_cacert.pem -- lajjan
On Thu, Nov 24, 2005 at 01:51:47PM +0100, Janos Lajos wrote:
alap kerdes, de ugye a ca directoryban megvannak a hash symlinkek?
Persze, hiszen eddig is mukodott. -- Udvozlettel Zsiga
participants (7)
-
Balazs Scheidler
-
Deim Ágoston
-
Gellér Sándor
-
Janos Lajos
-
Kosa Attila
-
Major Csaba
-
Szalay Attila