Ssl sos

Support Debian
#1

Bonjour,
je me permet de poster sur un forum car je recherche depuis 5 jours en vain. ( forum-livre-man—help)

environnement : Apache/2.2.9 (Debian) DAV/2 PHP/5.2.6-1+lenny13 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.7a configured

uname : 2.6.26-2-686-bigmem #1 SMP Thu Jan 27 01:21:02 UTC 2011 i686 GNU/Linux

j’ai acheter un certificat rapidsll que je doit installer sur un serveur WEB.
mon problème est que que la CA n’est pas reconnu.

VHOST :
###################### SSL #######################
SSLEngine on
SSLVerifyClient require
SSLProtocol +SSLv3 +TLSv1
SSLCipherSuite +ALL
SSLCertificateFile /etc/apache2/ssl/certificate.crt
SSLCertificateKeyFile /etc/apache2/ssl/private.key
#SSLCACertificateFile /etc/apache2/ssl/intermediate.crt
SSLcertificateChainFile /etc/apache2/ssl/intermediate.crt
################### SSL END #########################

log de /var/log/apache2/error.log
[Sat Nov 19 13:35:14 2011] [warn] Init: Oops, you want to request client authentication, but no CAs are known for verification!? [Hint: SSLCACertificate*]

Bien entendu j’ai testé les 2 chaines :
SSLcertificateChainFile /etc/apache2/ssl/intermediate.crt
SSLCACertificateFile /etc/apache2/ssl/intermediate.crt

j’ai colé un petit chmod 400 sur mes certifs et ils appartiennent a Mr root.

Ce que je comprend pas c’est que le log me dit que je n’ai pas déclaré de CA , alors que j’en ai déclaré une…

Je suis au bord du gouffre…

edit :

j’ai aussi tester avec
#openssl s_client -connect xxx:443

CONNECTED(00000003) — no peer certificate available — No client certificate CA names sent — SSL handshake has read 0 bytes and written 0 bytes — New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE SSL-Session: Protocol : SSLv3 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None PSK identity: None PSK identity hint: None Start Time: 1321709233 Timeout : 7200 (sec) Verify return code: 0 (ok) —

Merci pour vôtre aide.

EDIT :

OK j’ai trouvé… J’ai copier les librairie openssl d’un autre serveur et ca a marché tous de suite…

#2

Pourquoi est-ce que tu demandes à Apache de vérifier le certificat client ? Y’a une raison particulière ou c’est juste une erreur de ta part ?
Ma question est peut-être bête, mais vu que c’est ça qui coince (cf. le message d’erreur) et que c’est très peu commun…

#3

oui effectivement c’étais une erreur de ma part. Dans le désespoire j’ai un peu tous testé…

J’ai supprimé la vérification client et ça ne marchais toujours pas.
J’ai essayé avec des certficats auto signé made in maison et ça ne marchais toujours pas.

J’ai finit par changer le module ssl d’apache et ca a pris tous de suite…

merci !!