Dotaz: Apache2, mod SSL + prodloužení platnosti certifikátu

Dobrý den.

Vypršel mi klientský certifikát, tak se snažím o vygenerování nového, ale marně. Vygenerovat certifikát se mi povede, ale již se s ním nepřipojím na server.

Chybová hláška z Firefox: S partnerem protokolu SSL se nepodařilo domluvit akceptovatelnou množinu bezpečnostních parametrů. (Kód chyby: ssl_error_handshake_failure_alert)

Chybová hláška z Chrome:ERR_SSL_PROTOCOL_ERROR

Používám Linux-Ubuntu 12.04, Apache2+mod_ssl

Na serveru Apache2 je nastavení SSL pro VirtualHost:

...
SSLCertificateFile    /etc/apache2/certs/server.cer
SSLCertificateKeyFile /etc/apache2/certs/server.key
SSLVerifyClient require
SSLVerifyDepth  100
SSLCACertificateFile /etc/apache2/certs/ca.cer
...

Nový certifikát jsem generoval podle následujících příkazů: Generování klíče:

openssl genrsa -out client.key 2048

Žádost o certifikát:

openssl req -new -key client.key -out client.req

Vyplním požadované kolonky(stát, město,...).Při common name zadávám localhost, protože to zatím testuji u sebe. Vydat pomocí serverového cert. certifikát na (10let):

openssl x509 -req -in client.req -CA server.cer -CAkey server.key -set_serial 200 -extensions client -days 3650 -outform PEM -out client.cer

Pro prohlížeče:

openssl pkcs12 -export -inkey client.key -in client.cer -out client.p12

Vymazal jsem v prohlížeči celou cache, historii, cookies, atd. Klientský certifikát (client.p12) si do prohlížeče importuji.

Pokud odstraním

SSLVerifyClient require

https spojení funguje. Pravděpodobně bude nějaká chyba s certifikační autoritou.

Pokud by někdo věděl, co dělám špatně např. příkazy, tak budu rád, když mi odpoví.

Děkuji.

Podle me je chyba v -CA server.cer -CAkey server.key. Nechces podepisovat certifikatem serveru, ale tvoji CA.