Hallo zusammen,
ich wollte meinem Apachen beibringen mich per SSL-Zertifikat zu erkennen.
Leider tut es nicht, vielleicht hat ja jemand von euch eine Idee...
Was bereits funktioniert ist SSL "normal".
Sprich der Apache läuft auf Port 443 und vereschlüsselt den Seitenaufruf per https.
Auszug aus der Apacheconfig:
<schnipp>
SSLEngine on
SSLCertificateFile /etc/ssl/certs/apache-ssl-server.crt
SSLCertificateKeyFile /etc/ssl/private/apache-ssl-server.key
</schnapp>
Das Serverzertifikat ist self-signed.
Um das ganze recht einfach zu gestalten, möchte ich mit dem Serverkey auch mein Benutzerzertifikat ausstellen.
# openssl genrsa -rsa256 -out user.key
# openssl req -new -key user.key -out user.req
# openssl ca -cert /etc/ssl/certs/apache-ssl-server.crt -keyfile /etc/ssl/private/apache-ssl-server.key -in user.req -out user.crt
# openssl pkcs12 -export -inkey user.key -name "Mein Name" -in user.crt -certfile /etc/ssl/certs/apache-ssl-server.crt -out user.p12
Ergänzung der Apacheconfig:
<schnipp>
SSLCACertificateFile /etc/ssl/certs/apache-ssl-server.crt
SSLVerifyClient require
SSLVerifyDepth 10
SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
</schnapp>
Apache neu gestartet und das *.p12 in den iceweasel importiert.
Beim Seitenaufruf fragt er nach einen Zertifikat, hier wähle ich mein Importiertes "user.p12" aus.
Iceweasel bringt folgenden Fehler:
(Error code: ssl_error_unknown_ca_alert)
Apache-Log:
[ssl:error] [pid 15447] [client 192.168.1.55.:7887] AH02039: Certificate Verification: Error (2): unable to get issuer certificate
Googeln hat (noch) nichts gebracht und im Moment weiß ich leider nicht mehr weiter...
Hat vielleicht $irgendeiner von euch eine Idee?
LG Norman
--
Norman "bigboss" Zimmer
GnuPG-ID: 0x1842A431
Packets don't lie, but they may not tell everything if captured by a misconfigured filter.
Nicht nur diese E-Mail ist frei von Viren und Malware. Auch mein Betriebssystem.
Selbst ein Virenfreies Betriebssystem besorgen? ->
http://www.debian.org/
--
Mailing-Liste der Linux User Schwabach (LUSC) e.V.
Vor und beim Posten bitte
?
http://lusc.de/List-Netiquette < und
?
http://lusc.de/List-Howto < beachten. Danke!