https://www.opennet.me/openforum/vsluhforumID10/5053.html <br><br>При помощи OpenSSL сгенирировал самоподписный SSL сертификат, а так же множество клиентских сертификатов к нему. С нормальными браузерами (Firefox, Chrome) все работает, т.е. при импортированном клиентском сертификате страница открывается, без него - не открывается.<br><br>С Internet Explorer как всегда проблемы. Сертификат импортировался нормально, захожу на сайт - он предупреждает что сертификат самоподписный и после того, как я все же разрешаю зайти на этот сайт - вываливается с 403 ошибкой.<br><br>Клиентский сертификат: <br>Алгоритм подписи: md5RSA<br>Открытый ключ: RSA (1024 бит)<br>Алгорит отпечатка: sha1<br><br>С теми же клиентскими сертификатами в опере и хроме - работает нормально. Кто сталкивался с подобными траблами?<br> https://www.opennet.me/openforum/vsluhforumID10/5053.html#11 Tue, 30 Apr 2013 13:54:31 GMT Отключение поддержки SSL 2.0 в IE реально спасает. Большое спасибо! <br> https://www.opennet.me/openforum/vsluhforumID10/5053.html#10 Fri, 26 Oct 2012 20:16:25 GMT Думаю, это последнее мое сообщение в данной теме. Надеюсь, хоть кому-нибудь все это поможет не потерять несколько дней, как это сделал я.<br>1. Тот набор команд, который а привел выше - вполне рабочий и по нему можно создать рабочие сертификаты.<br>2. Я был не прав, думая, что вышеописанные опции мешали работать эксплореру в моем случае. Мешала включенная опция поддержки протокола SSLv2. Причем я включал поддержку SSLv2 на сервере также, IE с включенной поддержкой работать отказывался и просто напросто прерывал сессию, не сообщая ни чего толкового, при этом в логах выдавались ошибки, приведенные мной выше.<br>3. С авторизацией по сертификатам работают клиенты с Firefox без проблем, проверял на нескольких версиях, установленных на windows 7 и на windows XP. Но IE7 и IE8, установленные на Windows XP, работать отказываются - пробовал устанавливать все обновления, какие были, не помогло, а в логах было вот это:<br> Non-default virtual host with SSLVerify set to 'require' and VirtualHost-specific CA certificate list is on https://www.opennet.me/openforum/vsluhforumID10/5053.html#9 Tue, 23 Oct 2012 20:31:15 GMT Решил совершенно дурацким, на мой взгляд, способом.<br>Залез в настройки эксплорера в закладку "Дополнительно", раздел "Безопасность", убрал галки с "предупреждать о не соответствии адреса сертификата","Проверять аннулирование сертификатов издателей","Проверять, не отозван ли сертификат с сервера"<br>После этого IE заработал с сертификатом.<br>Причем могу сказать, что сгенерированный сертификат прошел проверку (openssl verify...),<br>не аннулирован. Может таким образом глючит опция "проверять, не отозван ли..." - у меня нет настроек для отозванных сертификатов, хотел их добавить позже, не знаю. Возможно, не все эти опции отключать надо. Возможно есть некая тонкая настройка сертификата, удовлетворяющая непонятным мне требованиям IE, пока не знаю также. Все эти вещи проверю позже, сейчас мне надо запустить в работу то, что уже работает.<br>Самое позорное со стороны IE то, что он после проверки сертификата тупо рвет сессию в случае несоответствия этого сертификата его требованиям, не объясняя в чем дело, при этом все сооб https://www.opennet.me/openforum/vsluhforumID10/5053.html#8 Mon, 22 Oct 2012 15:03:49 GMT сообщения в логе сейчас такие:<br><br>ssl_engine_io.c(1908): OpenSSL: I/O error, 5 bytes expected to read on BIO#7f0fc12b1100<br>ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate A<br><br>ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate A<br><br>(70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]<br>Connection closed to child 0 with abortive shutdown (server linux.local:443)<br><br>Connection to child 1 established (server linux.local:443)<br><br>ssl_engine_kernel.c(1866): OpenSSL: Handshake: start<br><br>ssl_engine_kernel.c(1874): OpenSSL: Loop: before/accept initialization<br>ssl_engine_io.c(1908): OpenSSL: I/O error, 11 bytes expected to read on BIO#7f0fc12bc000 [mem: 7f0fc12d5ee0]<br>ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv2/v3 read client hello A<br><br>End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]<br><br>Connection closed to child 1 with abortive shutdown (server lin https://www.opennet.me/openforum/vsluhforumID10/5053.html#7 Mon, 22 Oct 2012 14:49:47 GMT в надежде, что найдется знающий человек, который подскажет.<br><br>Делаю сертификаты таким образом:<br>echo "private CA key..."<br>openssl genrsa -des3 -nodes -out my-ca.key 2048<br><br>echo "X.509 cartificate..."<br>openssl req -new -newkey rsa:1024 -nodes -keyout my-ca.key -x509 -days 3650 \<br>-subj /C=RU/ST=Moscow/L=Moscow/O=My\ Inc/OU=IT/CN=linux.local/emailAddress=my@email.ru \<br>-out my-ca.crt<br><br>echo "private key for server..."<br>openssl req -new -newkey rsa:1024 -nodes -keyout mars-server.key \<br>-subj /C=RU/ST=Moscow/L=Moscow/O=My\ Inc/OU=Web/CN=linux.local/emailAddress=jclord@yandex.ru \<br>-out mars-server.csr<br>echo "sign certificate request..."<br>openssl x509 -req -in mars-server.csr -out mars-server.crt -sha1 -CA my-ca.crt -CAkey my-ca.key \<br>-CAcreateserial -days 3650<br><br>echo "private key for client..."<br>openssl req -new -newkey rsa:1024 -nodes -keyout van-c.key \<br>-subj /C=RU/ST=Moscow/L=Moscow/O=My\ Inc/OU=client/CN=user/emailAddress=jclord@yandex.ru \<br>-out van-c.csr<br>echo "sign sertificate request..."<br>op https://www.opennet.me/openforum/vsluhforumID10/5053.html#6 Sat, 20 Oct 2012 15:42:56 GMT при входе через firefox ни каких ошибок не вылазит <br> https://www.opennet.me/openforum/vsluhforumID10/5053.html#5 Sat, 20 Oct 2012 15:37:06 GMT включил в apache для виртуального хоста, на котором произвожу настройки LogLevel debug<br>Вот что получилось в логах:<br>[Sat Oct 20 19:14:59 2012] [info] Initial (No.1) HTTPS request received for child 1 (server myserver:443)<br>[Sat Oct 20 19:14:59 2012] [debug] ssl_engine_kernel.c(510): [client my.ip.addr.ess] Changed client verification type will force renegotiation<br>[Sat Oct 20 19:14:59 2012] [info] [client my.ip.addr.ess] Requesting connection re-negotiation<br>[Sat Oct 20 19:14:59 2012] [debug] ssl_engine_io.c(1900): OpenSSL: I/O error, 5 bytes expected to read on BIO#b82fbb40 [mem: b830314b]<br>[Sat Oct 20 19:14:59 2012] [debug] ssl_engine_kernel.c(764): [client my.ip.addr.ess] Performing full renegotiation: complete handshake protocol (client does support secure renegotiation)<br>[Sat Oct 20 19:14:59 2012] [debug] ssl_engine_kernel.c(1866): OpenSSL: Handshake: start<br>[Sat Oct 20 19:14:59 2012] [debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSL renegotiate ciphers<br>[Sat Oct 20 19:14:59 2012] [debug] ssl_engine https://www.opennet.me/openforum/vsluhforumID10/5053.html#4 Sat, 20 Oct 2012 11:53:41 GMT &gt; Ччё, MSDN не помогает??<br>&gt; G://self-signed cert client ie9 <br>&gt; How to make IE8 trust a self-signed certificate in 20 irritating steps <br>&gt; http://stackoverflow.com/questions/681695/what-do-i-need-to-do-to-get-internet-explorer-8-to-accept-a-self-signed-certific#1412118 <br>&gt; Да, про IE9 тут: <br>&gt; http://superuser.com/questions/307062/ie9-permanently-accept-untrusted-certificate#307065 <br><br>осмотрел все по ссылкам, не помогло. Перепроверил и клиентский сертификат и сертификат в доверенном корневом центре сертификации. Установил и для текущего пользователя и для локального компьютера. Инструкцию наизусть скоро запомню :-(<br>И в "надежные узлы" в IE установил, и TLS включил (без включения просто выдавался запрет на доступ). В логах apache при попытке доступа выдается:<br>Re-negotiation handshake failed: Not accepted by client!?<br>Если же ставить этот сертификат на firefox - работает отлично, причем пробовал на разных версиях. В IE7 тоже не идет, но похоже из-за отсутствия поддержки TLS 1.2 (у него в свойствах нет соотве https://www.opennet.me/openforum/vsluhforumID10/5053.html#3 Sat, 20 Oct 2012 07:16:11 GMT &gt; С Internet Explorer как всегда проблемы. Сертификат импортировался нормально, захожу &gt; Кто сталкивался с подобными траблами?<br><br>Ччё, MSDN не помогает??<br><br>G://self-signed cert client ie9<br><br>How to make IE8 trust a self-signed certificate in 20 irritating steps<br>http://stackoverflow.com/questions/681695/what-do-i-need-to-do-to-get-internet-explorer-8-to-accept-a-self-signed-certific#1412118<br><br>Да, про IE9 тут:<br>http://superuser.com/questions/307062/ie9-permanently-accept-untrusted-certificate#307065<br>