[sage] IE und Self-Signed Certificates ?
Karsten R. Becker
karstenrbecker at gmx.de
Tue Oct 28 19:03:57 CET 2008
Joerg Mertin schrieb:
> Kurze Info zur Konfig von meinem Apache Server:
> 1. Selbst Erzeugte CA
> 2. Selbst erzeugte Schluessel, mit meiner CA Unterzeichnet
> 3. Man kann sich ein Browser Zertifikat auf meiner Site runterladen, damit man
> dies in seinen Sicherheitseinstellungen als Vertrauenswuerdig deklarieren
> kann.
> 4. Mein Web-Server (Apache) ist so konfiguriert - dass er jedem Browser
> sagt - "Ich will eine Verschluesselung hoeher/gleich 128Bit !". SSL2
> protokoll wurde abgeschaltet, und Diffie Hellman (NON-Aggressive Mode)
> erzwungen.
> 5. Zugang zu bestimmten bereichen wird nur mittels freigeschalteten
> Client-Zertifikat zugelassen.
>
> So - nun kommt es dazu - dass sowie man auf meine WebSite im https Modus geht,
> die meisten IE (Seid eigentlich SP3 fuer XP rauskam, oder kurz danach)
> einfach nur sagen: This page cannot be displayed.
>
> Was XP angeht - so sehe ich ganz eindeutig im WebServer error log - dass der
> IE keine Verbindung >= 128Bit zulaesst. Was soll das ?????
>
> Hat irgendwer eine Moeglichkeit gefunden, dass es trotzdem geht ?
Servus,
über so was ähnliches bin ich letzt auch gestolpert.
U.z. musste ich (bei einem von T-Systems gesignten Cert) das hier
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcertificatechainfile
angeben, damit der IE keine Mucken macht. Auch bei Tomkatzen ohne
vorgeschaltetem Apachen machen wir das so (mit dem Keystore der JDK) und
inkludieren alle CAs. Scheinbar findet/har der der IE nicht so ohne
weiteres alle CAs zur Verifizierung parat. Die Erklärung der
Vetrauenswürdigkeit alleine hat beim IE nicht geholfen. Der Firefox 3
hat glaub ich ähnliche Probleme durch restriktive Behandlung von
Zertifikaten.
Mit dem ChainFile liefert der Apache die CAs bis hoch zum Root-Cert mit
aus, damit der Browser das Zertifikat verifizieren kann.
Sprich, da kommen die CA-Zertifikate bis zum Root-Zert rein,
nacheinander als PEM wie das Zertifikat des Servers.
Du müsstest also das Zertifikat Deiner eigenen separaten CA angeben. Ein
wirkliches self-signed, wo alles ohne eigene CA sich selbst
unterschreibt, bekommt man damit wahrscheinlich nicht abgefangen - aber
ist bei Dir ja nicht der Fall.
Gruß
Karsten
--
Sagt mal, wer ist eigentlich dieser Lan,
und warum macht der immer Parties?
Und dieser Peer, der immer meine
Verbindungen zurücksetzt - wenn ich den
mal in die Finger bekomme...
More information about the SAGE
mailing list