ich habe gerade ein ganz großes Problem mit meinem Apache Server, der standardmäßig alle Seiten über SSL ausliefert.
Die "Startseite" ist dabei ohne Authentifikation aufrufbar - einige Pfade erfordern hingegen SSLClientAuth über eine SmartCard.
Für jeden Pfad, der eine Authentifikation erfordert habe ich einen eigenen <Location> Abschnitt in meiner vhost-Config. Insgesamt sind es drei und der Inhalt ist 100% identisch:
- Code: Select all
<Location /mediawiki>
Order deny,allow
Allow from All
AuthType Basic
AuthName "Wiki"
AuthUserFile /etc/apache2/vhosts.d/wiki-users.certlist
Require valid-user
AddDefaultCharset UTF-8
SSLRequireSSL
SSLOptions +FakeBasicAuth +StdEnvVars +ExportCertData
SSLVerifyClient require
SSLVerifyDepth 6
</Location>
Das Dumme ist: Bei 2 der 3 Locations funktioniert alles wie gewünscht, nur bei MediaWiki gibt es Probleme:
FireFox 3.6.2 meldet dann immer "ssl_error_handshake_unexpected_alert"
Apache 2.2.15 mit OpenSSL 0.9.8n meldet im Log: "Re-negotiation handshake failed: Not accepted by client!?"
Ich denke das problem hängt irgendwie mit der renegotiation-Schwachstelle und den Workarounds zusammen - allerdings verstehe ich nicht, wieso bei identischer Kofiguration nur eine Location betroffen ist. Was macht mediaWiki so anders als die anderen locations (eine der anderen ist z.B. Gallery - also auch eine komplexere PHP-Anwendung).
Hat einer von euch noch Ideen an welchen Schräubchen man drehen kann oder was Apache bzw. Firefox hier Probleme bereitet?
Robert