ssl zertifikat

X

xbartk

Guest
hallo

ich habe ein client zertifikat (ca) erstellt wie es unter http://www.impetus.us/~rjmooney/projects/misc/clientcertauth.html erklärt wird. eigentlich hat alles funktioniert, nur bleibt konqueror bei einer verbindung in der endlosschleife. folgende schritte habe ich durchgeführt:
1. Create the Certificate Authority (CA)
- mkdir -p /etc/ssl/ca/private
- chown -R root:wheel /etc/ssl/ca
- chmod 700 /etc/ssl/ca/private
- openssl genrsa -out ca.key 1024
- openssl req -new -key ca.key -out ca.csr
- openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

2. Install the CA Certificate on the Web Server
<VirtualHost _default_:443>
...
SSLCACertificateFile /var/www/conf/ssl.crt/ca.crt
...
</VirtualHost>

3. Require a Certificate for Access
<VirtualHost _default_:443>
...
<Location /cert>
SSLRequireSSL
SSLVerifyClient require
SSLVerifyDepth 10
</Location>
...
</VirtualHost>
- apache neu starten

4. Have the Client Request a Certificate
- openssl genrsa -out client.key 1024
- openssl req -new -key client.key -out client.csr -config openssl.cnf

5. Have the Authority Sign the Certificate
- openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt

6. Import the Client Certificate
- openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

anschliessend p12 datei in konqueror importieren.
die endlosschleife entsteht nur, wenn ich 'SSLVerifyClient require' in httpd.conf eintrage.

gruss
bart
 
Es wäre vielleicht hilfreich, wenn du "Endlosschleife" mal definieren könntest. Vielleicht liegt es ja an Konqueror und hast du es schonmal mit einem anderen Browser versucht?
 
endlosschleife meine ich, dass er ununterbrochen verbindet (rechts oben dreht sich das rad immer, und hört nicht auf). hab mal mit mozilla versuch, nur wechselt er automatisch von https auf http. mir ist aufgefallen das konqueror bei der überprüfung des zertifikat (button überprüfen) es als "zertifikat ist selbst-signiert und daher vieleicht nicht vertrauenswürdig" erkannt hat, liegt's vieleicht daran?
 
xbartk schrieb:
die endlosschleife entsteht nur, wenn ich 'SSLVerifyClient require' in httpd.conf eintrage.
is ja klar weil der client das zertifikat an den server senden muss, lass einfach weg das willst du nicht.
 
also soll ich "SSLVerifyClient require" weg lassen?
dann kann aber jeder belibiege ohne zertifikat an meinen server verbinden oder?
und wieso wird in den tutorial's geschrieben das ich "SSLVerifyClient require" aktivieren soll?
 
wenn du willst das sich jeder nur über SSL "anmelden" kann dann solltest du in deiner vhost folgendes drinn stehen haben: " RedirectMatch /(.*)$ https://domain.tld/$1 "
 
ich habe in der "httpd.conf" unter virtual host das eingegeben " RedirectMatch /(.*)$ https://domain.tld/$1 ". der server meldete: Unbekannter Rechner domain.tld
muss ich domain.tld in ip adresse umbennenen?
und kann dieser eintrag nur unter vhost oder auch für ein verzeichnis <Location> sein?
 
ich habe das eingetragen "RedirectMatch /(.*)$ https://???.???.???.???/$1", der server meldete: Auf sich selbst verweisende Verknüpfung in https://???.???.???.???/

???.???.???.??? = meine ip
 
es funktioniert, er wechselt von http automatisch nach https. nur akzeptiert er dies auch ohne client zertifikat, er sollte aber alle client's ohne richtigem client zertifikat sperren. soweit ich informiert bin geschiet das mit "SSLVerifyClient require" aber das erzeugt eben diese endlosschleife.
 
ja das stimmt das geht nur mit "SSLVerifyClient require" ich versteh deinen seltsamen stil nicht ein SSL Zertifikat zu erstellen ein einfaches
"openssl req -x509 -newkey rsa:2048 -keyout name.key -out name.cert -days 9999 -nodes" und installieren beim client würde afaik genügen.
 
ich habe die zertifikate nach dem tutorial http://www.impetus.us/~rjmooney/pro...ntcertauth.html erstellt, dass mir oenone empfolen hat. er sagte ich soll einfach die schritte befolgen, dass ich auch getan habe. das importieren des p12 zertifikat in konqueror funktioniert. wenn ich dein zertifikat erstelle und in konqueror importieren will (geht nur in SSL-Unterzeichner) ist das zertifikat ungültig.
 
Zurück
Oben