LibreOffice: SSLv3 Zertifikat kann nicht gefunden werden

Eisenfaust · 06.08.2012, 23:24

Mit LibreOffice versuche ich Verbindung zu meinem PostgreSQL Server herzustellen. Die Verbindung muß verschlüsselt stattfinden. Die üblichen Verbindungen via "psql -h host.de dbname username" funktionieren einwandfrei, der Server, Version 9.1.4 unter FreeBSD 10, erlaubt nur SSL Verbindungen von entfernten Maschinen.

Alles verläuft sauber und definiert, solange ich NICHT LibreOffice verwende!
Ich arbeite mit einigen Pyjthon-Skripten, die ich selber entwickelt habe sowie einem Werkzeug in C, ebenfalls selbst entwickelt. In allen Fällen werden Verbidnungen zur SQL DB via einer SSL Verschlüsselung aufgebaut.

In der Konfiguration zur Verbdindung zum Server richte ich eine JDBC-Verbindung ein, die URL lautet dann:

jdbc

ostgresql://host.de/dbname?ssl=true

Und genau das funktioniert nicht, auf der gegenseite erhalte ich eine Fehlermeldung des SQL-Servers, daß das SSLv3 Zertifikat nicht gefunden werden kann.

Weiß jemand, wo LibreOffice nach Zertifikaten sucht? Es heißt, OO und LibreOffice suchen dort, wo Mozilla und Apache auch suchen, kann man das vermittels einer Umgebungsvariablen bestimmen?

Ich habe versucht die Dokumentation zu konsultieren, diese schweigt sich leider (für mich) aus. Wenn jemand etwas finden sollte, ich wäre dankbar um jeden Hinweis.

Addendum:

Der PostgreSQL-Server spuckt diese Fehlermeldung aus:

LOG: Autovacuum-Launcher startet
LOG: Datenbanksystem ist bereit, um Verbindungen anzunehmen
LOG: Verbindung empfangen: Host=XXX.XXX.XXX.XXX Port=63114
LOG: konnte SSL-Verbindung nicht annehmen: sslv3 alert certificate unknown

Tronar · 07.08.2012, 13:42

Wenn der SQL-Server das Zertifikat nicht kennt, ist das doch ein Problem des Servers und nicht eines von LibreOffice, oder?
Offenbar besitzt Dein Server das Zertifikat, das LibreOffice benutzt - oder vielmehr: das zugeörige Root-Zertifikat - nicht. Deine anderen Client-Programme (psql) verwenden dagegen andere Zertifikate, die der Server verifizieren kann.
Man müßte also herausfinden welcher CA sich LibreOffice bedient, und das zugehörige Root-Zertifikat dann eigens auf dem Server in /etc/ssl installieren, aber dazu kenne ich LibreOffice nicht genau genug.
Einfache Frage: Hat der Server den Port security/ca_root_nss installiert? Hast Du auch den Link ln -s /usr/local/share/certs/ca-root-nss.crt /etc/ssl/cert.pem eingerichtet?

Eisenfaust · 08.08.2012, 08:33

Hallo Tronar.

Nun, ich bin mir an dieser Stelle nicht 100% sicher, daß mein Vorgehen das richtige Vorgehen ist.
In der wechselseitigen Kommunikation zwiwchen meinen Servern und Klienten verwende ich im Grunde eine vom Server initiierte Verschlüsselung, so wie man das von SSL Verbindungen bei WWW Servern kennt. Also keine individuellen, CA-basierten Authentifizierungen.

Ich muß gestehen, daß ich nicht tief im Thema SSL/TLS stecke, vielleicht ist das mein Problem.

Die Kommunikation mit dem Werkzeug "psql" und Server "postgres" funktioniert einwandfrei via SSL (auch vom Ausland aus), so auch pgAdmin3. Ich nehme diese beiden Beispiele als Referenz dafür, daß die verschlüsselte Kommunikation serverseitig etabliert wird, da "required" gefordert ist.

Mein Verzeichnis "/etc/ssl" ist bis auf die SSL Konfiguration jungfräulich. Ich nehme an, daß alles nach /usr/local/etc/(ssl) geschickt werden sollte, um konsistent zu sein, oder? Auf Deine Frage: nein. Es gibt keinen Link.Und wenn dies die Lösung des Problems wäre, hätte ich ein Problem damit, daß ich nicht verstehe, wie LibreOffice die Kommunikation mit den von mir angegebenen Parametern etabliert.

Leider finde ich herzlich wenig in der allgemeinen Dokumentation zu LibreOffice zu diesem wichtigen Thema. Der "Anwender" findet, so sehe ich das im Moment, lediglich in den Entwicklerdokumentationen zum PostgreSQL Treibermodul Hinweise, wie eine Verbindung verschlüsselt eingerichtet wird - deshalb steht als Optionenappendix in meinem Beispiel aus "dbname?ssl=true". Lasse ich ssl=true weg, wird eine unverschlüsselte Verbindung versucht und es kommt zu der üblichen und aussagekräftigen fehlermeldung, daß der entsprechende pg_hba-Eintrag mit SSL=off fehle.

Ich habe gar jetzt den Verdacht, daß ich eine SSL Verbindung mit Zertifikat etablieren möchte, also mit CA Zertifikat und einem privaten Zertifikat.

Gibt es noch andere Optionen statt nur ssl=true und ist diese Option für meine Belange überhaupt richtig?

06.08.2012, 23:24	#1
Eisenfaust Registered User Registrierungsdatum: Nov 2004 Beiträge: 99	LibreOffice: SSLv3 Zertifikat kann nicht gefunden werden Mit LibreOffice versuche ich Verbindung zu meinem PostgreSQL Server herzustellen. Die Verbindung muß verschlüsselt stattfinden. Die üblichen Verbindungen via "psql -h host.de dbname username" funktionieren einwandfrei, der Server, Version 9.1.4 unter FreeBSD 10, erlaubt nur SSL Verbindungen von entfernten Maschinen. Alles verläuft sauber und definiert, solange ich NICHT LibreOffice verwende! Ich arbeite mit einigen Pyjthon-Skripten, die ich selber entwickelt habe sowie einem Werkzeug in C, ebenfalls selbst entwickelt. In allen Fällen werden Verbidnungen zur SQL DB via einer SSL Verschlüsselung aufgebaut. In der Konfiguration zur Verbdindung zum Server richte ich eine JDBC-Verbindung ein, die URL lautet dann: jdbcostgresql://host.de/dbname?ssl=true Und genau das funktioniert nicht, auf der gegenseite erhalte ich eine Fehlermeldung des SQL-Servers, daß das SSLv3 Zertifikat nicht gefunden werden kann. Weiß jemand, wo LibreOffice nach Zertifikaten sucht? Es heißt, OO und LibreOffice suchen dort, wo Mozilla und Apache auch suchen, kann man das vermittels einer Umgebungsvariablen bestimmen? Ich habe versucht die Dokumentation zu konsultieren, diese schweigt sich leider (für mich) aus. Wenn jemand etwas finden sollte, ich wäre dankbar um jeden Hinweis. Addendum: Der PostgreSQL-Server spuckt diese Fehlermeldung aus: LOG: Autovacuum-Launcher startet LOG: Datenbanksystem ist bereit, um Verbindungen anzunehmen LOG: Verbindung empfangen: Host=XXX.XXX.XXX.XXX Port=63114 LOG: konnte SSL-Verbindung nicht annehmen: sslv3 alert certificate unknown __________________ E c c A Bque e d Geändert von Eisenfaust (07.08.2012 um 11:56 Uhr).

08.08.2012, 08:33	#3
Eisenfaust Registered User Registrierungsdatum: Nov 2004 Beiträge: 99	Hallo Tronar. Nun, ich bin mir an dieser Stelle nicht 100% sicher, daß mein Vorgehen das richtige Vorgehen ist. In der wechselseitigen Kommunikation zwiwchen meinen Servern und Klienten verwende ich im Grunde eine vom Server initiierte Verschlüsselung, so wie man das von SSL Verbindungen bei WWW Servern kennt. Also keine individuellen, CA-basierten Authentifizierungen. Ich muß gestehen, daß ich nicht tief im Thema SSL/TLS stecke, vielleicht ist das mein Problem. Die Kommunikation mit dem Werkzeug "psql" und Server "postgres" funktioniert einwandfrei via SSL (auch vom Ausland aus), so auch pgAdmin3. Ich nehme diese beiden Beispiele als Referenz dafür, daß die verschlüsselte Kommunikation serverseitig etabliert wird, da "required" gefordert ist. Mein Verzeichnis "/etc/ssl" ist bis auf die SSL Konfiguration jungfräulich. Ich nehme an, daß alles nach /usr/local/etc/(ssl) geschickt werden sollte, um konsistent zu sein, oder? Auf Deine Frage: nein. Es gibt keinen Link.Und wenn dies die Lösung des Problems wäre, hätte ich ein Problem damit, daß ich nicht verstehe, wie LibreOffice die Kommunikation mit den von mir angegebenen Parametern etabliert. Leider finde ich herzlich wenig in der allgemeinen Dokumentation zu LibreOffice zu diesem wichtigen Thema. Der "Anwender" findet, so sehe ich das im Moment, lediglich in den Entwicklerdokumentationen zum PostgreSQL Treibermodul Hinweise, wie eine Verbindung verschlüsselt eingerichtet wird - deshalb steht als Optionenappendix in meinem Beispiel aus "dbname?ssl=true". Lasse ich ssl=true weg, wird eine unverschlüsselte Verbindung versucht und es kommt zu der üblichen und aussagekräftigen fehlermeldung, daß der entsprechende pg_hba-Eintrag mit SSL=off fehle. Ich habe gar jetzt den Verdacht, daß ich eine SSL Verbindung mit Zertifikat etablieren möchte, also mit CA Zertifikat und einem privaten Zertifikat. Gibt es noch andere Optionen statt nur ssl=true und ist diese Option für meine Belange überhaupt richtig? __________________ E c c A Bque e d

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken
Ansicht	Thema bewerten
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln	Thema bewerten:

Ähnliche Themen
Thema	Erstellt von	Forum	Antworten	Letzter Beitrag
LibreOffice 3.5.5 Buildprobleme	Yamagi	FreeBSD - Anwendungen und Ports	6	24.07.2012 13:03
Java in LibreOffice?	SolarCatcher	FreeBSD - Anwendungen und Ports	4	02.02.2012 09:50
Libreoffice absturtz beim herunterscrollen in den schriftarten	ath0	FreeBSD - Anwendungen und Ports	10	09.11.2011 23:20
libreoffice letter <-> A4	pit234a	FreeBSD - Anwendungen und Ports	6	05.05.2011 12:17
Apache - SSL Zertifikat	eLgino	FreeBSD - Anwendungen und Ports	17	26.01.2006 19:28

07.08.2012, 13:42	#2
Tronar ausÜberzeugung altmodisch Registrierungsdatum: Jan 2007 Ort: Hechlingen (Bayern) Beiträge: 218	Wenn der SQL-Server das Zertifikat nicht kennt, ist das doch ein Problem des Servers und nicht eines von LibreOffice, oder? Offenbar besitzt Dein Server das Zertifikat, das LibreOffice benutzt - oder vielmehr: das zugeörige Root-Zertifikat - nicht. Deine anderen Client-Programme (psql) verwenden dagegen andere Zertifikate, die der Server verifizieren kann. Man müßte also herausfinden welcher CA sich LibreOffice bedient, und das zugehörige Root-Zertifikat dann eigens auf dem Server in /etc/ssl installieren, aber dazu kenne ich LibreOffice nicht genau genug. Einfache Frage: Hat der Server den Port security/ca_root_nss installiert? Hast Du auch den Link ln -s /usr/local/share/certs/ca-root-nss.crt /etc/ssl/cert.pem eingerichtet?

Dieses Thema betrachten zurzeit 1 Personen. (0 registrierte Benutzer und 1 Gäste)