хммм имаш си го странно, пробвал ли си да увеличиш дълбочината на удостоверяването (примерно на 3,4)
On 12/01/2008, Vladimir Vitkov <[EMAIL PROTECTED]> wrote: > Лека корекция ... > > за да верифицираме клиента трябва да стигнем до ноговото RootCA а не > до нашето което ни е издало сертификата на сървъра. > > Тоест необходима ни е една от тези две директиви: > SSLCACertificateFile > SSLCACertificatePath > > Лично аз предпочитам втората (не знам какъв и е овърхеда в кода на > апача). За справка: > http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcacertificatefile > > On 12/01/2008, Georgi Chorbadzhiyski <[EMAIL PROTECTED]> wrote: > > On 01/12/08 14:29, [EMAIL PROTECTED] wrote: > > >> On 01/11/08 17:50, Dean Stoeff wrote: > > >>> Здравейте някой борил ли се е с Апача да подкара оторизация на > > >>> потребителите със смарт карти ? И по точно с тези издавани от нашите > > >>> удостоверители на електронни подписи. > > >> > > >> Ето настройките на сървъра. > > >> http://httpd.apache.org/docs/2.0/ssl/ssl_howto.html > > >> > > >> От тук нататък проблема е в клиентските бразуери. Да имат импортиран > > >> клиентския сертификат или достъп до четящото устройство. > > > > > > :) Жоро, знам как да си подкарам SSL на Апачето и как да си инсталирам > > > картат а със сертификатите в браузъра, но явно нещо пропускам защото нещо > > > не се получава. Ето какво пише в лога на Апача: > > > > Предполагам си направил нещо подобно: > > > > http://marc.info/?l=apache-modssl&m=101717965611360&w=2 > > > > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1190): Certificate > > > Verification: depth: 2, subject: /C=BG/O=InfoNotary > > > PLC/DC=qsign-ca/CN=i-Notary Q Sign CA/OU=i-Notary Q Sign CA, issuer: > > > /C=BG/O=InfoNotary PLC/DC=root-ca/CN=InfoNotary CSP Root/OU=InfoNotary CSP > > > Root/[EMAIL PROTECTED] > > > [Fri Jan 11 18:42:01 2008] [error] Certificate Verification: Error (20): > > > unable to get local issuer certificate > > > > 2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: unable to get issuer certificate > > the issuer certificate could not be found: this occurs if the issuer > > certificate of an untrusted certificate cannot be found. > > > > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1770): OpenSSL: > > > Write: SSLv3 read client certificate B > > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1789): OpenSSL: > > > Exit: error in SSLv3 read client certificate B > > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1789): OpenSSL: > > > Exit: error in SSLv3 read client certificate B > > > [Fri Jan 11 18:42:01 2008] [info] [client 192.168.6.166] SSL library error > > > 1 in handshake (server telecom.navbul.com:443) > > > [Fri Jan 11 18:42:01 2008] [info] SSL Library Error: 336105650 > > > error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate > > > returned > > > [Fri Jan 11 18:42:01 2008] [info] [client 192.168.6.166] Connection closed > > > to child 0 with abortive shutdown (server telecom.navbul.com:443) > > > > Виждам че ползваш InfoNotary като CA. Вмъкнал ли си техния root сертификат > > сред trusted CA? Клиента има ли също техния сертификат (освен ключа си)? > > > > http://www.mail-archive.com/[EMAIL PROTECTED]/msg46409.html > > http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcertificatechainfile > > > > http://www.issociate.de/board/post/292386/verify_error:num=20:unable_to_get_local_issuer_certificate.html > > > > http://gagravarr.org/writing/openssl-certs/others.shtml > > > > -- > > Georgi Chorbadzhiyski > > http://georgi.unixsol.org/ > > _______________________________________________ > > Lug-bg mailing list > > [email protected] > > http://linux-bulgaria.org/mailman/listinfo/lug-bg > > > > > -- > С уважение, > Владимир Витков > > http://www.netsecad.com > http://www.supportbg.com > -- С уважение, Владимир Витков http://www.netsecad.com http://www.supportbg.com _______________________________________________ Lug-bg mailing list [email protected] http://linux-bulgaria.org/mailman/listinfo/lug-bg
