Am Wed, 02 Mar 2011 16:33:43 +0100
schrieb Daniel Spannbauer
Am 03/02/2011 10:59 AM, schrieb Dieter Kluenter:
Am Wed, 02 Mar 2011 10:42:40 +0100 schrieb Daniel Spannbauer
: Hallo,
ich hatte hier einen Apache auf 10.3 mit SSL am laufen. Aus diversen Gründen habe ich jetzt eine 11.3 hochgezogen. Daten habe ich alle auf den neuen Rechner umgezogen, Auch die SSL-Keys des Apache. Leider mosert mir jetzt trotzdem der der Indianer rum das mit den SSL-Schlüsseln was nicht stimmt.
[Wed Mar 02 10:41:13 2011] [warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?) [Wed Mar 02 10:41:13 2011] [warn] RSA server certificate CommonName (CN) `10.3.24.4' does NOT match server name!?
Die Warnungen sind doch eindeutig, erstens wird ein Certificate Authority als Server Certificate angeboten, zweitens steht im Zertifikat CN: 10.3.24.4' und aufgerufen wird der Host mit seinem Hostname, der stimmt dann nicht mit dem CN im Zertifikat überein.
Dann die Frage:Der Apache auf dem 10.3 hat die selbe Config und die selben Keys, mosert aber nicht rum...
Weil es eine uralte buggy openSSL Version ist?
Jemand ne Idee wie ich das gerade biegen kann?
Ein Host Certifikat erstellen mit BasicConstraints CA: FALSE und dem richtigen Hostnamen als CN, gegebenenfalls als Subject Alternative Name DNS:10.3.24.4 hinzufügen, dieses dann mit der CA signieren.
Das ganze ist für OCS. Bin auf die neue Version umgestiegen weil ich mit der alten irgendwie keine Dateien verteilen kann. Die server.crt wird auf den CLient kopiert damit der sich über ssl seine Dateien holen kann. Wenn ich jetzt das crt neu verteilen muss (weils nicht mehr zum Key passt) hab ich bei 200 Clients ganz schon was zu laufen.....
Da läuft doch was falsch, ein Server Certificate wird nicht auf einen Client kopiert, sondern nur die CA. Sinn und Zweck des Tranport Layer Security ist doch, daß ein Client das vom Server präsentierte Certificate mittels der CA verifizieren kann, um dann darauf aufbauend einen verschlüsselten Datentransport zu initiieren. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org