Лека корекция ... за да верифицираме клиента трябва да стигнем до ноговото RootCA а не до нашето което ни е издало сертификата на сървъра.
Тоест необходима ни е една от тези две директиви: SSLCACertificateFile SSLCACertificatePath Лично аз предпочитам втората (не знам какъв и е овърхеда в кода на апача). За справка: http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcacertificatefile On 12/01/2008, Georgi Chorbadzhiyski <[EMAIL PROTECTED]> wrote: > On 01/12/08 14:29, [EMAIL PROTECTED] wrote: > >> On 01/11/08 17:50, Dean Stoeff wrote: > >>> Здравейте някой борил ли се е с Апача да подкара оторизация на > >>> потребителите със смарт карти ? И по точно с тези издавани от нашите > >>> удостоверители на електронни подписи. > >> > >> Ето настройките на сървъра. > >> http://httpd.apache.org/docs/2.0/ssl/ssl_howto.html > >> > >> От тук нататък проблема е в клиентските бразуери. Да имат импортиран > >> клиентския сертификат или достъп до четящото устройство. > > > > :) Жоро, знам как да си подкарам SSL на Апачето и как да си инсталирам > > картат а със сертификатите в браузъра, но явно нещо пропускам защото нещо > > не се получава. Ето какво пише в лога на Апача: > > Предполагам си направил нещо подобно: > > http://marc.info/?l=apache-modssl&m=101717965611360&w=2 > > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1190): Certificate > > Verification: depth: 2, subject: /C=BG/O=InfoNotary > > PLC/DC=qsign-ca/CN=i-Notary Q Sign CA/OU=i-Notary Q Sign CA, issuer: > > /C=BG/O=InfoNotary PLC/DC=root-ca/CN=InfoNotary CSP Root/OU=InfoNotary CSP > > Root/[EMAIL PROTECTED] > > [Fri Jan 11 18:42:01 2008] [error] Certificate Verification: Error (20): > > unable to get local issuer certificate > > 2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: unable to get issuer certificate > the issuer certificate could not be found: this occurs if the issuer > certificate of an untrusted certificate cannot be found. > > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1770): OpenSSL: > > Write: SSLv3 read client certificate B > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1789): OpenSSL: > > Exit: error in SSLv3 read client certificate B > > [Fri Jan 11 18:42:01 2008] [debug] ssl_engine_kernel.c(1789): OpenSSL: > > Exit: error in SSLv3 read client certificate B > > [Fri Jan 11 18:42:01 2008] [info] [client 192.168.6.166] SSL library error > > 1 in handshake (server telecom.navbul.com:443) > > [Fri Jan 11 18:42:01 2008] [info] SSL Library Error: 336105650 > > error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate > > returned > > [Fri Jan 11 18:42:01 2008] [info] [client 192.168.6.166] Connection closed > > to child 0 with abortive shutdown (server telecom.navbul.com:443) > > Виждам че ползваш InfoNotary като CA. Вмъкнал ли си техния root сертификат > сред trusted CA? Клиента има ли също техния сертификат (освен ключа си)? > > http://www.mail-archive.com/[EMAIL PROTECTED]/msg46409.html > http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcertificatechainfile > > http://www.issociate.de/board/post/292386/verify_error:num=20:unable_to_get_local_issuer_certificate.html > > http://gagravarr.org/writing/openssl-certs/others.shtml > > -- > Georgi Chorbadzhiyski > http://georgi.unixsol.org/ > _______________________________________________ > Lug-bg mailing list > Lug-bg@linux-bulgaria.org > http://linux-bulgaria.org/mailman/listinfo/lug-bg > -- С уважение, Владимир Витков http://www.netsecad.com http://www.supportbg.com _______________________________________________ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
