[zorp-hu] Zorp 6.0.11 - tanúsítvány lánc

LAJOS Janos lajos.janos at madeIT.hu
2018. Jan. 22., H, 08:56:17 UTC


On Fri, Jan 19, 2018 at 09:13:53AM +0100, Attila Pozsonyi wrote:

Szervusz,

Csapd hozzá a subCA certe(ke)t a /etc/zorp/ssl/cert.pem állományhoz, pl.

# cat /tmp/subca1.pem /tmp/subca2.pem >>/etc/zorp/ssl/cert.pem

-- 
Lajos János


> Sziasztok!
> 
> Akadt egy kis problémám a 6.x.x verziójú Zorp tanúsítványkezelésével,
> nevezetesen a teljes tanúsítvány láncot szeretném a kliensnek elküldeni, ha
> megszólítja a servert. Régen ez nagyon egyszerű volt a
> ssl.client_ca_directory paraméterrel, de most nem boldogulok.
> 
> Remekül működik a dolog
> a client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile,
> stb. metódussal, de ez csak a "server" tanúsítványt mutatja fel a kliens
> felé, az root és a subCA-t nem.
> 
> Így néz ki az encryption policy-m:
> 
> EncryptionPolicy(name="BaseSSL_encryption_policy",
> encryption=ClientOnlyEncryption(client_verify=ClientNoneVerifier(),
> client_ssl_options=ClientSSLOptions(method=SSL_METHOD_ALL,
> cipher=SSL_CIPHERS_HIGH, timeout=300, disable_sslv2=TRUE,
> disable_sslv3=TRUE, disable_tlsv1=TRUE, disable_tlsv1_1=TRUE,
> disable_tlsv1_2=FALSE, session_cache_size=20480,
> disable_session_cache=TRUE, disable_ticket=TRUE),
> client_certificate_generator=StaticCertificate(certificate=Certificate.fromFile(certificate_file_path="/etc/zorp/ssl/cert.pem",
> private_key=PrivateKey.fromFile("/etc/zorp/ssl/key.pem")))))
> 
> 6.0.10-es release notes-ban olvastam, hogy a Zorp elküldi az intermediate
> CA cert-et is a server tanúsítvánnyal együtt. Kérdés, hogy hogyan? :)
> 
> Köszi
> 
> Üdv
> 
> Pozsonyi Attila

> _______________________________________________
> zorp-hu mailing list
> zorp-hu at lists.balabit.hu
> https://lists.balabit.hu/mailman/listinfo/zorp-hu


More information about the zorp-hu mailing list