[zorp-hu] Zorp 6.0.11 - tanúsítvány lánc

Attila Pozsonyi pozsonyi.attila.zsolt at gmail.com
2018. Jan. 19., P, 08:13:53 UTC


Sziasztok!

Akadt egy kis problémám a 6.x.x verziójú Zorp tanúsítványkezelésével,
nevezetesen a teljes tanúsítvány láncot szeretném a kliensnek elküldeni, ha
megszólítja a servert. Régen ez nagyon egyszerű volt a
ssl.client_ca_directory paraméterrel, de most nem boldogulok.

Remekül működik a dolog
a client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile,
stb. metódussal, de ez csak a "server" tanúsítványt mutatja fel a kliens
felé, az root és a subCA-t nem.

Így néz ki az encryption policy-m:

EncryptionPolicy(name="BaseSSL_encryption_policy",
encryption=ClientOnlyEncryption(client_verify=ClientNoneVerifier(),
client_ssl_options=ClientSSLOptions(method=SSL_METHOD_ALL,
cipher=SSL_CIPHERS_HIGH, timeout=300, disable_sslv2=TRUE,
disable_sslv3=TRUE, disable_tlsv1=TRUE, disable_tlsv1_1=TRUE,
disable_tlsv1_2=FALSE, session_cache_size=20480,
disable_session_cache=TRUE, disable_ticket=TRUE),
client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile(certificate_file_path="/etc/zorp/ssl/cert.pem",
private_key=PrivateKey.fromFile("/etc/zorp/ssl/key.pem")))))

6.0.10-es release notes-ban olvastam, hogy a Zorp elküldi az intermediate
CA cert-et is a server tanúsítvánnyal együtt. Kérdés, hogy hogyan? :)

Köszi

Üdv

Pozsonyi Attila
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lists.balabit.hu/pipermail/zorp-hu/attachments/20180119/eeea98ec/attachment.html>


More information about the zorp-hu mailing list