LINUX.ORG.RU
решено ФорумAdmin

Apache + mod_ssl + пользовательские сертификаты + Internet Explorer


0

1

Приветствую.

Дорогие, лоровцы! А подскажите мне, почему такео может быть. Я генерирую клиентские сертификаты и авторизую пользователей на сервере по ним. Всё бы хорошо, но есть одно «но»! IE (некоторые) отказываются работать, говорят что не могут отобразить страницу, даже не доходя до выбора сертификата. А некоторые ИЕ (абсолютно такой же версии) нормально работают. Все остальные браузеры работают без проблем. В чём может быть загвоздка?

Прошу помощи, начальство уже почти загрызло!

★★★

Ответ на: комментарий от zgen

[Tue Nov 16 15:15:24 2010] [error] [client 82.199.103.244] Re-negotiation request failed
[Tue Nov 16 15:15:24 2010] [error] SSL Library Error: 336068931 error:14080143:SSL routines:SSL3_ACCEPT:unsafe legacy renegotiation disabled

VirRaa ★★★
() автор топика
Ответ на: комментарий от VirRaa

Вы поняли причину и чем это грозит?

Собственно ваши браузеры поддерживают только старую версию протокола, которая уязвима к атакам типа MitM.

zgen ★★★★★
()

Сертификат, по которму проходит авторизация, я так понимаю находится вхранилище «Личные» у клиента? Если так, то: 1) Проверьте, действителен ли клиентский сертификат на компьютере клиента и строиться ли цепочка сертификации для него. Если нет - установите корневой ca.crt сертификат в доверенные корневые клиенту. 2) Проверьте то же на машине клиента для сертификата сервера.

По личному большому опыту работы с веб-приложением, авторизующим пользователей по сертам могу сказать, что в ИЕ в 99% случаев проблема именно в этом.

З.Ы. Стоит еще обратить внимание на вот что: если открыть серт на виндовой машине и посмотреть на вкладку «состав», там должна быть «нормальная» длина ключа (не 0 бит). И проверьте в справка-о программе у ИЕ, что сказано о длине ключа.

isvolo4
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin