Sziasztok, Firefox alatt a RapidSSL-tol vasrolt cert-nel keresi az intermediate file-t. Tobbi bongeszo alatt tokeletes. Apache-nal ide teszem: SSLCertificateChainFile Es Zorpnal? Probaltam azt, hogy hozzacsapom a szolgaltatotol kapott certhez (ami nginx eseteben pl mukodik is), de nem jott be. Valkinek otlete esetleg? Tamas Barina
On Mon, Apr 22, 2013 at 10:15:02AM +0200, Tamas Barina wrote: Szia,
Es Zorpnal? Probaltam azt, hogy hozzacsapom a szolgaltatotol kapott certhez (ami nginx eseteben pl mukodik is), de nem jott be.
Az adott proxy osztályban a self.client_ca_directory (vagy a másik oldalon a self.server_ca_directory) attributumot tudod erre a célra használni. Az itt megadott könyvtárban helyezd el a köztes szolgáltatói tanúsítványokat és készíts azokra symlinket pl. az alábbi módon: # cd /etc/zorp/ssl-params/FIXME/ca.d # openssl x509 -in FIXMECACERT.pem -hash -noout 54b3f0e2 # ln -s FIXMECACERT.pem 54b3f0e2.0 # chmod 640 FIXMECACERT.pem # chown root:zorp FIXMECACERT.pem Fontos a .0 a "hash" érték után az állomány nevében. Ha már létezik a könyvtárban egy <HASH>.0 nevű állomány (nem valószínű), akkor szekvenciálisan növeld a . utáni értéket. -- lajjan
Koszonom, szuper. Mukodik is. Tamas Barina -----Original Message----- From: zorp-hu-bounces@lists.balabit.hu [mailto:zorp-hu-bounces@lists.balabit.hu] On Behalf Of LAJOS Janos Sent: 22 April 2013 10:34 To: Magyar nyelvu Zorp levelezesi lista. Subject: Re: [zorp-hu] Zorp https + intermediate file On Mon, Apr 22, 2013 at 10:15:02AM +0200, Tamas Barina wrote: Szia,
Es Zorpnal? Probaltam azt, hogy hozzacsapom a szolgaltatotol kapott certhez (ami nginx eseteben pl mukodik is), de nem jott be.
Az adott proxy osztályban a self.client_ca_directory (vagy a másik oldalon a self.server_ca_directory) attributumot tudod erre a célra használni. Az itt megadott könyvtárban helyezd el a köztes szolgáltatói tanúsítványokat és készíts azokra symlinket pl. az alábbi módon: # cd /etc/zorp/ssl-params/FIXME/ca.d # openssl x509 -in FIXMECACERT.pem -hash -noout 54b3f0e2 # ln -s FIXMECACERT.pem 54b3f0e2.0 # chmod 640 FIXMECACERT.pem # chown root:zorp FIXMECACERT.pem Fontos a .0 a "hash" érték után az állomány nevében. Ha már létezik a könyvtárban egy <HASH>.0 nevű állomány (nem valószínű), akkor szekvenciálisan növeld a . utáni értéket. -- lajjan _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
Meg egy gyors kerdes: Megadtam, a firefox meggyogyult, viszont a logban ez maradt: "Certificate verification failed; error='unable to get local issuer certificate'" self.ssl.client_ca_directory = "/etc/ssl/sites" self.ssl.server_ca_directory = "/etc/ssl/sites" Itt benne a megadott modon. Tamas Barina "Az adott proxy osztályban a self.client_ca_directory (vagy a másik oldalon a self.server_ca_directory) attributumot tudod erre a célra használni."
On Mon, Apr 22, 2013 at 11:13:12AM +0200, Tamas Barina wrote:
Meg egy gyors kerdes: Megadtam, a firefox meggyogyult, viszont a logban ez maradt: "Certificate verification failed; error='unable to get local issuer certificate'" self.ssl.client_ca_directory = "/etc/ssl/sites" self.ssl.server_ca_directory = "/etc/ssl/sites" Itt benne a megadott modon.
Ha csak a kliensnek bemutatott tanúsítvánnyal volt gondod, akkor ssl.server_ca_directory attributum nem kell. Az üzenet (vélhetően) azt jelenti, hogy a szerver oldali továbbkapcsolódás során a Pssl proxy nem tudta validálni a szerver tanúsítványt. Ami gondolom számodra nem releváns. Töröld ki a self.ssl.server_ca_directory értékadást. -- lajjan
Oks, Tenyleg nem relevans. Koszi. Tamas Barina "Az üzenet (vélhetően) azt jelenti, hogy a szerver oldali továbbkapcsolódás során a Pssl proxy nem tudta validálni a szerver tanúsítványt. Ami gondolom számodra nem releváns. Töröld ki a self.ssl.server_ca_directory értékadást."
participants (2)
-
LAJOS Janos
-
Tamas Barina