SSLRequire %{SSL_CLIENT_S_DN_Email} funktioniert nicht

Alles, was den Apache betrifft, kann hier besprochen werden.

SSLRequire %{SSL_CLIENT_S_DN_Email} funktioniert nicht

Postby Roomer » 23. June 2006 00:13

Hallo Leute

ich bin ziemlich neu bei apache
aber auch nach reichlich googeln kann ich den fehler nicht finden

ich moechte einen client anahand eines von mir ausgestellten certifikats identifizieren.
wenn ich im browser kein zertifikat importiert habe, kommt auch eine fehlermeldung.

aber die genauere unterscheidung nach CN oder Email funktioniert nicht.
nach etlichem experimentieren habe ich festgestellt, dass keine einzige "SSLRequire whatever" funktioniert.

glaube die syntax ist ok. habe am ende schon voellig verzweifelt beispiele aus howtos kopiert...nix...

das certifikat selbst ist ok, aber egal, selbst wenn ich ip als bedingung angegeben habe, hat es nicht funktioniert.

hier mal die config

-------------------------------------------------------------------------------------
<VirtualHost *:443>
LogLevel debug
# SSL (START)

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/crt/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/key/server.key

SSLProtocol all
SSLCipherSuite HIGH:MEDIUM

# Client-Zertifikatsabfrage aktivieren:
SSLCACertificateFile /etc/ssl/certs/ca.crt
SSLCARevocationFile /etc/ssl/crl/ca.crl

# bestimmt ob der client ein gueltiges certifikat braucht (require / none)
SSLVerifyClient require
SSLUserName SSL_CLIENT_S_DN_CN

# SSL (ENDE)

ServerAdmin webmaster@localhost
DocumentRoot /var/www/test
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>

<Directory /var/www/test/asdf>

SSLOptions +ExportCertData +StrictRequire
SSLRequireSSL
SSLRequire %{SSL_CLIENT_S_DN_Email} eq "asdf"
# SSLRequire ( %{SSL_CLIENT_S_DN_CN} in {"karl fuchs"})
# [...]

Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog /var/log/apache2/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel debug

CustomLog /var/log/apache2/access.log combined
ServerSignature On

Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
#Allow from 127.0.0.0/255.0.0.0 ::1/128
Allow from all
</Directory>

</VirtualHost>

----------------------------------------------------------------------------------


also ich bin irgendwie ratlos
und das beruhigungsbier schlaegt langsam an :)

falls jemand ne idee hat, bin fuer jeden vorschlag dankbar....

mfg
Roomer
 
Posts: 2
Joined: 22. June 2006 23:33

Postby Roomer » 23. June 2006 11:46

noch ein paar infos die ich total vergessen habe


Kernel: Debian , Sarge1 , 2.4.27-3-686-smp
Apache: 2.0.54-5
OpenSSL: 0.9.7e-3sarge1

wenn kein zertifikat im browser importiert ist meckert er rum, was ja ok is
sobald ein zertifikat da ist das ich ausgestellt habe bekomme ich zugriff auf die wegseite, egal was bei SSLRequire angegeben ist.

in den logfiles ist nicht zu finden
keine fehlermeldung, nix

die logs sind etwas mager, obwohl ich LogLevel auf debug gesetzt habe
kann keine infos ueber handshake oder sonstwas finden
keine ssl bezogenen infos auffindbar.....

....neuer tag , neues Glueck....oder auch nich ;)


mfg
Roomer
 
Posts: 2
Joined: 22. June 2006 23:33


Return to Apache

Who is online

Users browsing this forum: No registered users and 4 guests