[zorp-hu] Zorp 6.0.11 - tanúsítvány lánc
Attila Pozsonyi
pozsonyi.attila.zsolt at gmail.com
2018. Jan. 23., K, 14:01:09 UTC
Szia!
Köszi a tippet, működk! A vicc az, hogy korábban már próbáltam ezt a
megközelítést és akkor hibára futottam. Mint kiderült azért, mert előre
kerültek a CA cert-ek és csak az utolsó volt a server cert maga.
Feltételezem, hogy az első helyen szereplő cert-el próbálja összepárosítani
a privát kulcsot, ami így értelem szerűen nem egy működőképes dolog.
Üdv
Pozsonyi Attila
2018. január 22. 9:56 LAJOS Janos írta, <lajos.janos at madeit.hu>:
> On Fri, Jan 19, 2018 at 09:13:53AM +0100, Attila Pozsonyi wrote:
>
> Szervusz,
>
> Csapd hozzá a subCA certe(ke)t a /etc/zorp/ssl/cert.pem állományhoz, pl.
>
> # cat /tmp/subca1.pem /tmp/subca2.pem >>/etc/zorp/ssl/cert.pem
>
> --
> Lajos János
>
>
> > Sziasztok!
> >
> > Akadt egy kis problémám a 6.x.x verziójú Zorp tanúsítványkezelésével,
> > nevezetesen a teljes tanúsítvány láncot szeretném a kliensnek elküldeni,
> ha
> > megszólítja a servert. Régen ez nagyon egyszerű volt a
> > ssl.client_ca_directory paraméterrel, de most nem boldogulok.
> >
> > Remekül működik a dolog
> > a client_certificate_generator=StaticCertificate(certificate=
> Certificate.fromFile,
> > stb. metódussal, de ez csak a "server" tanúsítványt mutatja fel a kliens
> > felé, az root és a subCA-t nem.
> >
> > Így néz ki az encryption policy-m:
> >
> > EncryptionPolicy(name="BaseSSL_encryption_policy",
> > encryption=ClientOnlyEncryption(client_verify=ClientNoneVerifier(),
> > client_ssl_options=ClientSSLOptions(method=SSL_METHOD_ALL,
> > cipher=SSL_CIPHERS_HIGH, timeout=300, disable_sslv2=TRUE,
> > disable_sslv3=TRUE, disable_tlsv1=TRUE, disable_tlsv1_1=TRUE,
> > disable_tlsv1_2=FALSE, session_cache_size=20480,
> > disable_session_cache=TRUE, disable_ticket=TRUE),
> > client_certificate_generator=StaticCertificate(certificate=
> Certificate.fromFile(certificate_file_path="/etc/zorp/ssl/cert.pem",
> > private_key=PrivateKey.fromFile("/etc/zorp/ssl/key.pem")))))
> >
> > 6.0.10-es release notes-ban olvastam, hogy a Zorp elküldi az intermediate
> > CA cert-et is a server tanúsítvánnyal együtt. Kérdés, hogy hogyan? :)
> >
> > Köszi
> >
> > Üdv
> >
> > Pozsonyi Attila
>
> > _______________________________________________
> > zorp-hu mailing list
> > zorp-hu at lists.balabit.hu
> > https://lists.balabit.hu/mailman/listinfo/zorp-hu
> _______________________________________________
> zorp-hu mailing list
> zorp-hu at lists.balabit.hu
> https://lists.balabit.hu/mailman/listinfo/zorp-hu
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lists.balabit.hu/pipermail/zorp-hu/attachments/20180123/0759cac6/attachment.html>
More information about the zorp-hu
mailing list