abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Projekt OpenChaos
    dnes 13:00 | Humor

    OpenChaos.dev je 'samovolně se vyvíjející open source projekt' s nedefinovaným cílem. Každý týden mohou lidé hlasovat o návrzích (pull requestech), přičemž vítězný návrh se integruje do kódu projektu (repozitář na GitHubu). Hlasováním je možné změnit téměř vše, včetně tohoto pravidla. Hlasování končí vždy v neděli v 9:00 UTC.

    NUKE GAZA! 🎆 | Komentářů: 1
    Debian 13.3 a 12.13
    dnes 03:00 | Nová verze

    Byl vydán Debian 13.3, tj. třetí opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.13, tj. třináctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

    Ladislav Hagara | Komentářů: 0
    Podělte se o svůj názor s Evropskou komisí: Evropské otevřené digitální ekosystémy
    včera 03:00 | Komunita

    Na stránkách Evropské komise, na portálu Podělte se o svůj názor, se lze do 3. února podělit o názor k iniciativě Evropské otevřené digitální ekosystémy řešící přístup EU k otevřenému softwaru.

    Ladislav Hagara | Komentářů: 6
    Orion pro Linux v alfa verzi
    9.1. 19:44 | Zajímavý software

    Společnost Kagi stojící za stejnojmenným placeným vyhledávačem vydala (𝕏) alfa verzi linuxové verze (flatpak) svého proprietárního webového prohlížeče Orion.

    Ladislav Hagara | Komentářů: 4
    Bose uvolnila API starších reproduktorů
    9.1. 19:11 | IT novinky

    Firma Bose se po tlaku uživatelů rozhodla, že otevře API svých chytrých reproduktorů SoundTouch, což umožní pokračovat v jejich používání i po plánovaném ukončení podpory v letošním roce. Pro ovládání také bude stále možné využívat oficiální aplikaci, ale už pouze lokálně bez cloudových služeb. Dokumentace API dostupná zde (soubor PDF).

    NUKE GAZA! 🎆 | Komentářů: 2
    AdGuard Home: domácí ochrana nejen před reklamou
    9.1. 14:22 | Zajímavý článek

    Jiří Eischmann se v příspěvku na svém blogu rozepsal o open source AdGuard Home jako domácí ochraně nejen před reklamou. Adguard Home není plnohodnotným DNS resolverem, funguje jako DNS forwarder s možností filtrování. To znamená, že když přijme DNS dotaz, sám na něj neodpoví, ale přepošle ho na vybraný DNS server a odpovědi zpracovává a filtruje dle nastavených pravidel a následně posílá zpět klientům. Dá se tedy používat k blokování reklamy a škodlivých stránek a k rodičovské kontrole na úrovni DNS.

    Ladislav Hagara | Komentářů: 7
    Claude Code lépe rozumí frameworku Nette
    9.1. 03:33 | Zajímavý software

    AI Claude Code od Anthropicu lépe rozumí frameworku Nette, tj. open source frameworku pro tvorbu webových aplikací v PHP. David Grudl napsal plugin Nette pro Claude Code.

    Ladislav Hagara | Komentářů: 1
    Visual Studio Code a VSCodium 1.108
    9.1. 00:11 | Nová verze

    Byla vydána prosincová aktualizace aneb nová verze 1.108 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.108 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    Notebook s plazmovým chlazením
    8.1. 20:44 | IT novinky

    Na lasvegaském veletrhu elektroniky CES byl předveden prototyp notebooku chlazeného pomocí plazmových aktuátorů (DBD). Ačkoliv se nejedná o první nápad svého druhu, nepochybně to je první ukázka praktického použití tohoto způsobu chlazení v běžné elektronice. Co činí plazmové chladící akční členy technologickou výzvou je především vysoká produkce jedovatého ozonu, tu se prý podařilo firmě YPlasma zredukovat dielektrickou

    … více »
    NUKE GAZA! 🎆 | Komentářů: 14
    Patchouli, open source implementace EMR grafického tabletu
    8.1. 16:33 | Zajímavý projekt

    Patchouli je open source implementace EMR grafického tabletu (polohovací zařízení). Projekt je hostován na GitLabu.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (7%)
     (4%)
     (0%)
     (9%)
     (20%)
     (4%)
     (5%)
     (3%)
     (10%)
     (50%)
    Celkem 359 hlasů
     Komentářů: 8, poslední včera 23:18
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / TLS - bol použitý client certificate?
    Štítky: bez, certifikat, IDE, Internet, klient, OpenSSL, server, TLS, 500

    Dotaz: TLS - bol použitý client certificate?

    29.8.2018 13:54 Semo | skóre: 45 | blog: Semo
    TLS - bol použitý client certificate?
    Přečteno: 360×
    Ladíme closed-source serverovú aplikáciu, ku ktorej sa klient pripája HTTPS/TLS spojením a autentikuje klienstkým certifikátom. Keďže ide o centrálneho správcu hesiel, tak buď sa spojenie podarí alebo skončí na "HTTP/1.1 500 Internal Server Error". Z neznámeho dovodu loguje málo alebo vobec (to rieši sa s dodávateľom).

    Spojenie z klienta dokážem simulovať pomocou openssl 
    openssl s_client -connect <SERVERFQDN>:443 -CAfile CA-certs.pem -prexit -servername <SERVERFQDN> -no_ticket -state -cert cert.pem -key key.pem
    Nedokážem ale z výstupu určiť či bol vyžiadaný/poslaný klienstký certifikát alebo nie. Výstup sa líši len v nevýznamých častiach oproti volaniu bez optionov "-cert" a "-key".

    Ako mám zistiť či bol poslaný klientský certifikát?
    If you hold a Unix shell up to your ear, you can you hear the C.

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    29.8.2018 14:02 NN
    Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?
    Pridal bych parametr '-state' a v krajnim pripade '-debug'. Imho pokud server vraci 500 ta aplikace/nginx whatever nebude uplne v poradku..
    29.8.2018 15:46 Semo | skóre: 45 | blog: Semo
    Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?
    "-state" tam uz je. Debug len vypisuje dumpy posielanych dat. Mozno sa z tych dumpov da odvodit odpoved ale podla coho v tych dumpoch to mam spoznat? "500 Internal server error" je umyselne univerzalna reakcia na kazdu chybu, aby z toho neslo nic odvodit. Ide o "bezpecnostnu" aplikaciu. Proste bud je request OK a po tom odpoveda HTTP 200 a posiela XML data, alebo inak HTTP 500.

    Na https://badssl.com/ su pripravene testovacie virtual hosty na vsetky mozne pokusy okolo SSL/TLS a da sa tam hrat aj s client certificates. Tam to aj vidno, ze sa komunikacia lisi ak bol predhodeny client cert alebo nie. Ale oni to maju asi vzorovo a priatelsky nakonfigurovane. Odpovedat na otazku, ci ku TLS spojeniu bol prilozeny client certificate by snad malo byt mozne aj bez spoluprace servera. Klient to predsa musi vediet, ci nejaky certifikat posielal alebo nie.

    Ukazky pre badssl.com (heslo pre private key je "badssl.com"): 
    # s client cert
 openssl s_client -connect client.badssl.com:443 -prexit -cert badssl.com-client.pem -servername client.badssl.com -no_ticket -state

# bez client cert
openssl s_client -connect client.badssl.com:443 -prexit -servername client.badssl.com -no_ticket -state
    Pri pouziti client cert vo vypise pribude riadok 
    SSL_connect:SSLv3/TLS write certificate verify
    (Uvedene priklady by este mali mat option "-CAfile" so zoznamom CA pre overenie servera, ale na strucnu ukazku to nie je nevyhnutne)

    Lenze zaroven vidno, ze server poslal "Acceptable client certificate CA names", co je zoznam CA, pomocou ktorych podpisany client cert bude akceptovat. Co sa hodi pre pripad, ze klient ma plno certifikatov a nevie, ktory ma poslat (nijak vynimocne, ak je klientom bezny www browser).

    V mojom pripade ale viem, ktory client cert chcem poslat a tusim server zoznam oblubenych CA posielat nemusi. Takze v mojom prpade neviem, ci bol client cert poslany a ani ako to zistit.
    If you hold a Unix shell up to your ear, you can you hear the C.
    Řešení 2× (Semo (tazatel), Filip Jirsák)
    29.8.2018 16:16 ttt
    Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?
    Pokud server vyžaduje klientský certifikát, musí si o něj říct. V požadavku může poslat oblíbené CA. Každopádně -debug nebo -msg vypisují hexdump toho, co se posílá. Certifikát je dost velký, v tom hexdumpu by nemělo být tak těžké najít, jestli tam je nebo ne.
    Řešení 1× (Filip Jirsák)
    30.8.2018 13:44 Semo | skóre: 45 | blog: Semo
    Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?
    Tak po zapnuti "-msg" vidno, ci sa posiela klientsky certifikat: 
    ...

>>> ??? [length 0005]
    16 03 03 04 ab
>>> TLS 1.2Handshake [length 04ab], Certificate
    0b 00 04 a7 00 04 a4 00 04 a1 30 82 04 9d 30 82
    02 85 a0 03 02 01 02 02 09 00 f0 bb 28 c1 63 7e
...
    d2 a2 fd 76 e1 65 54 7b 45 88 f8 28 2a b1 1d 25
    a3 55 50 be cd 1b da 69 17 ca 51
SSL_connect:SSLv3/TLS write client certificate

...
    Ak sa neposiela, tak to vyzera takto: 
    ...

>>> ??? [length 0005]
    16 03 03 00 07
>>> TLS 1.2Handshake [length 0007], Certificate
    0b 00 00 03 00 00 00
SSL_connect:SSLv3/TLS write client certificate

...
    Este krajsie to vidno ak sa pri kompilacii OpenSSL zapne "enable-ssl-trace" a pri pustani s_client sa prida option "-trace". Pravdepodobne to ale znamena vlastnu kompilacii OpenSSL, pretoze to tusim nie je default.

    Pri "-trace" je vo vypise info o posielanom certifikate a potom aj cely certifikat jak v parsovanej forme, tak aj v BASE64 
    ...

Sent Record
Header:
  Version = TLS 1.2 (0x303)
  Content Type = Handshake (22)
  Length = 1195
    Certificate, Length=1191
      certificate_list, length=1188
        ASN.1Cert, length=1185
------details-----
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f0:bb:28:c1:63:7e:c9:57
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = California, L = San Francisco, O = BadSSL, CN = BadSSL Client Root Certificate Authority
        Validity
            Not Before: Nov 16 05:36:33 2017 GMT
            Not After : Nov 16 05:36:33 2019 GMT
        Subject: C = US, ST = California, L = San Francisco, O = BadSSL, CN = BadSSL Client Certificate
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c7:37:5f:11:eb:1e:4e:cf:eb:ba:48:e5:cb:a3:
                    12:2c:73:3e:46:1d:1e:9c:0d:c0:8b:83:23:da:c7:
...
         be:cd:1b:da:69:17:ca:51
-----BEGIN CERTIFICATE-----
MIIEnTCCAoWgAwIBAgIJAPC7KMFjfslXMA0GCSqGSIb3DQEBCwUAMH4xCzAJBgNV
...
Ioacp9qb0qL9duFlVHtFiPgoKrEdJaNVUL7NG9ppF8pR
-----END CERTIFICATE-----
------------------

SSL_connect:SSLv3/TLS write client certificate

...
    Ak client certificate posielany nebol, tak : 
    ...

Sent Record
Header:
  Version = TLS 1.2 (0x303)
  Content Type = Handshake (22)
  Length = 7
    Certificate, Length=3
      certificate_list, length=0

SSL_connect:SSLv3/TLS write client certificate

...
    If you hold a Unix shell up to your ear, you can you hear the C.
    30.8.2018 09:23 MP
    Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?
    Divil by ses. Napr. SOAP vraci 500 jako OK a pak to webserver jen preda.
    30.8.2018 11:54 Semo | skóre: 45 | blog: Semo
    Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?
    Toto je SOAP API ku CyberArk-u a HTTP 500 pouziva na signalizovanie akejkolvek chyby. Ked sa clovek nedohovori s predradenym MS IIS, tak dostava obvykle HTTP 403, ak je IIS spokojny, tak to forwarduje applikacii pod nim a ta bud posle odpoved alebo HTTP 500.
    If you hold a Unix shell up to your ear, you can you hear the C.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.