Hello! Zorp 2.1.8, a rendszer Sarge. A konfig: class IntraHttps(PsslProxy): class EmbeddedHttp(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = TRUE def config(self): self.server_need_ssl = TRUE self.server_verify_type = SSL_VERIFY_REQUIRED_TRUSTED self.server_ca_directory = '/etc/zorp/ca.crt' self.client_need_ssl = TRUE self.client_cert = '/etc/zorp/fw.akarmi.hu.crt' self.client_key = '/etc/zorp/fw.akarmi.hu.key' self.client_verify_type = SSL_VERIFY_NONE self.stack_proxy = self.EmbeddedHttp self.server_verify_depth = 2 A syslog: Aug 30 14:31:25 fw zorp_https[25126]: (zorp-https@akarmi.hu/intra_https:3/pssl): Certificate verification error; subject='/C=HU/ST=Csongrad/L=Szeged/O=Szegedi Tudomanyegyetem/OU=Szamitokozpont/CN=www.etr.u-szeged.hu', issuer='/emailAddress=ca@etr.u-szeged.hu/C=HU/ST=Csongrad/L=Szeged/O=SZTE/OU=Szamitokozpont/CN=SZTE ETR CA', errcode='20', error='unable to get local issuer certificate' Aug 30 14:31:25 fw zorp_https[25126]: (zorp-https@akarmi.hu/intra_https:3/pssl): SSL handshake failed on the server side; error='error:14090086:SSL routines:lib(20):SSL3_GET_SERVER_CERTIFICATE:func(144):certificate verify failed:reason(134)' A /etc/zorp/ca.crt konyvtarban elhelyeztem a www.etr.u-szeged.hu.crt nevu fajlt, amelynek tartalmat az openssl-lel szereztem meg: openssl s_client -host www.etr.u-szeged.hu -port 443 -showcerts Lefuttattam a make-et, es ujrainditottam a megfelelo peldanyt. Egy masik geprol lynx-szel neznem az oldalt: https://www.etr.u-szeged.hu/etr/login.asp Mi keruli el a figyelmemet? -- Udvozlettel Zsiga
Hi All! On Tue, 2005-08-30 at 14:41 +0200, Kosa Attila wrote:
A /etc/zorp/ca.crt konyvtarban elhelyeztem a www.etr.u-szeged.hu.crt nevu fajlt, amelynek tartalmat az
Nem neztem most utana, de valami olyan remlik, hogy a Zorp csak a hash nevu file-okat fogadja el. Vagyis azt a csunya deedbeaf.0 tipusuakat. De mondom, ez csak egy tipp. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
On Tue, Aug 30, 2005 at 03:00:59PM +0200, Szalay Attila wrote:
Hi All!
On Tue, 2005-08-30 at 14:41 +0200, Kosa Attila wrote:
A /etc/zorp/ca.crt konyvtarban elhelyeztem a www.etr.u-szeged.hu.crt nevu fajlt, amelynek tartalmat az
Nem neztem most utana, de valami olyan remlik, hogy a Zorp csak a hash nevu file-okat fogadja el. Vagyis azt a csunya deedbeaf.0 tipusuakat.
De mondom, ez csak egy tipp.
Elfogadja a normalis filenevet, csak a hash-nek, mint symlinknek, letezni kell. De a kovetkezo levelben lehet az igazsag, a CA crt-je szukseges. (pedig nem lenne rossz a konkret tanusitvanyra ellenorizni) Gyula
On Tue, Aug 30, 2005 at 03:00:59PM +0200, Szalay Attila wrote:
On Tue, 2005-08-30 at 14:41 +0200, Kosa Attila wrote:
A /etc/zorp/ca.crt konyvtarban elhelyeztem a www.etr.u-szeged.hu.crt nevu fajlt, amelynek tartalmat az
Nem neztem most utana, de valami olyan remlik, hogy a Zorp csak a hash nevu file-okat fogadja el. Vagyis azt a csunya deedbeaf.0 tipusuakat.
Arra celoztam a make-kel, hogy generaltam linket a fajlnevre (elnezest, irhattam volna egyertelmubben is). -- Udvozlettel Zsiga
On Tue, Aug 30, 2005 at 02:41:24PM +0200, Kosa Attila wrote:
A /etc/zorp/ca.crt konyvtarban elhelyeztem a www.etr.u-szeged.hu.crt nevu fajlt, amelynek tartalmat az openssl-lel szereztem meg: openssl s_client -host www.etr.u-szeged.hu -port 443 -showcerts
Lefuttattam a make-et, es ujrainditottam a megfelelo peldanyt.
Egy masik geprol lynx-szel neznem az oldalt: https://www.etr.u-szeged.hu/etr/login.asp
Mi keruli el a figyelmemet?
Csak tipp: a ca dirbe nem a webserver certificate-jét, hanem a webserver CA-jának ceritificate-jét kellene elhelyezni. -- Friczy 'Death is not a bug, it's a feature'
On Tue, Aug 30, 2005 at 03:02:23PM +0200, Nemeth Gyorgy wrote:
Csak tipp: a ca dirbe nem a webserver certificate-jét, hanem a webserver CA-jának ceritificate-jét kellene elhelyezni.
Ezt töltsd le, és tedd a könyvtárba: https://www.etr.u-szeged.hu/etr/doc/szte_etr_ca.cer -- Friczy 'Death is not a bug, it's a feature'
On Tue, Aug 30, 2005 at 03:02:23PM +0200, Nemeth Gyorgy wrote:
On Tue, Aug 30, 2005 at 02:41:24PM +0200, Kosa Attila wrote:
Mi keruli el a figyelmemet?
Csak tipp: a ca dirbe nem a webserver certificate-jét, hanem a webserver CA-jának ceritificate-jét kellene elhelyezni.
Jogos :) Most mar csak az kerdes, hogy hogyan lehet hozzajutni egy webszerver CA-janak a kulcsahoz. -- Udvozlettel Zsiga
On Tue, Aug 30, 2005 at 03:32:07PM +0200, Kosa Attila wrote:
Jogos :) Most mar csak az kerdes, hogy hogyan lehet hozzajutni egy webszerver CA-janak a kulcsahoz.
Az idézett oldalon baloldalt 'Hitelességi bizonyítvány' (fordítás rulez :)) -- Friczy 'Death is not a bug, it's a feature'
On Tue, Aug 30, 2005 at 03:32:57PM +0200, Nemeth Gyorgy wrote:
On Tue, Aug 30, 2005 at 03:32:07PM +0200, Kosa Attila wrote:
Jogos :) Most mar csak az kerdes, hogy hogyan lehet hozzajutni egy webszerver CA-janak a kulcsahoz.
Az idézett oldalon baloldalt 'Hitelességi bizonyítvány' (fordítás rulez
Bocsanat, talan megint nem volt teljesen egyertelmu a kerdes. Nem a konkret webszerverre gondoltam (en is megtalaltam a fentit, es mukodik is, azert irtam a "jogos"-t), hanem ugy altalaban (mert most hirtelen tobbet is be kellene allitanom, amelyeknek nincs kint az oldalan a CA kulcsa). -- Udvozlettel Zsiga
On Tue, Aug 30, 2005 at 03:39:37PM +0200, Kosa Attila wrote:
Bocsanat, talan megint nem volt teljesen egyertelmu a kerdes. Nem a konkret webszerverre gondoltam (en is megtalaltam a fentit, es mukodik is, azert irtam a "jogos"-t), hanem ugy altalaban (mert most hirtelen tobbet is be kellene allitanom, amelyeknek nincs kint az oldalan a CA kulcsa).
Ha szerencséd van, akkor valami publikus, ismert CA írta alá. Ha nem, akkor mailto:webmaster@sufnibt.hu :)))) -- Friczy 'Death is not a bug, it's a feature'
On Tue, Aug 30, 2005 at 03:43:21PM +0200, Nemeth Gyorgy wrote:
On Tue, Aug 30, 2005 at 03:39:37PM +0200, Kosa Attila wrote:
Bocsanat, talan megint nem volt teljesen egyertelmu a kerdes. Nem a konkret webszerverre gondoltam (en is megtalaltam a fentit, es
Ha szerencséd van, akkor valami publikus, ismert CA írta alá. Ha nem, akkor mailto:webmaster@sufnibt.hu :))))
Ha ismert lenne, akkor nem lenne gondom :( Sajnos sejtettem, hogy csak ez a megoldas van, de koszi a megerositest. -- Udvozlettel Zsiga
participants (5)
-
Kerekes Gyula
-
Kosa Attila
-
Nemeth Gyorgy
-
Nemeth Gyorgy
-
Szalay Attila