httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Sven Büsing <s.bues...@babiel.com>
Subject Apache SSLVerifyClient in Location-Directive
Date Wed, 04 Aug 2010 10:33:40 GMT
Hallo,

ich habe folgende Anforderungen:

Eine Webseite https://www.xyz.de soll normal für jedermann ausgeliefert werden. Für die
Unterseite https://www.xyz.de/xyz/ soll der User per Client-Zertifikat authentifiziert werden.

Folgendes habe ich hierfür in meine Apache-Konfiguration eingefügt:

<Location /xyz>
SSLRequireSSL
SSLVerifyClient require
SSLVerifyDepth 2 
</Location>

Dies führt aber dazu, dass, wenn ich die URL https://www.xyz.de/xyz/ aufrufe, im SSL-Handshake
vom Server KEIN "CertificatRequest" an den Client gesendet wird und der Client daher auch
kein Zertifikat sendet. Ich habe lange gesucht und bin irgendwann auf diesen Artikel gestossen:
https://issues.apache.org/bugzilla/show_bug.cgi?id=12355

Dies ist natürlich ein sehr alter Bug, der aber scheinbar so immernoch vorhanden ist. Hier
wird beschrieben, dass man dieses Verhalten umgehen kann, indem man in der VirtualHost-Directive
SSLVerifyClient optional hinzufügt. Bei der Umsetzung dieses Vorschlags, sieht zumindest
der SSL-Traffic ordentlich aus und es wird auch ein "CertificateRequest" vom Server gesendet.
Firefox kann hiermit auch problemlos umgehen, der InternetExplorer allerdings erzeugt diesen
Fehler: "[error] Re-negotiation request failed"
Vermutlich hat dies mit den Sicherheitspatches im SSL-Stack zu tun, welche unsichere Re-Negotiation
unterbinden.

Kann mir jemand sagen, ob dieses Verhalten so gewünscht ist bzw. wie ich dieses Problem beheben
kann?

Gruß
Sven

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message