https://opennet.ru/openforum/vsluhforumID8/6804.html Коллеги, очень прошу помочь разобраться с довольно странной штукой. Общие симптомы:<br> Есть система платежей на Apache+OpenSSL+самописный софт. Работает это все через сертификаты. Вот на днях случилась довольно странная штука, есть клиент с емэйлом предположим test@example.com у него есть сертификат, который истек.<br><br>Он делает платежи какой то совей программой, которая коннектится к нашему апачу, сует ему сертификат, тот его обрабатывает грит что Ок, и дальше пропускает запрос в ядро.<br>так вот, в чем проблема:<br><br>apache_ssl_request.log:<br>[26/Mar/2010:15:48:49 +0300] 10.10.10.33 0 TLSv1 EDH-RSA-DES-CBC3-SHA test@example.com 09C6 "GET /hyperkassa?function%&lt;skipped&gt;Б+1 HTTP/1.1" 200 302<br>apache_ssl_request.log:<br>[Fri Mar 26 15:48:49 2010] [error] [client 10.10.192.33] Certificate Verification: Error (10): certificate has expired<br><br>Прикол в том, что платеж таки попал в ядро. Как такое может быть? т.е. почему просроченный сертификат хоть и обругался, но прошел в систему? прошу обратить внимание что apache о https://opennet.ru/openforum/vsluhforumID8/6804.html#7 Thu, 01 Apr 2010 08:13:27 GMT &gt; Апну треэд.<br><br>Народ, очень нужно разобраться, помажите люди добрые достичь просветеления и внутренней гармонии.<br><br> https://opennet.ru/openforum/vsluhforumID8/6804.html#6 Wed, 31 Mar 2010 13:31:38 GMT <br>&gt;<br>&gt;Я же говорю, чтоб вы обратили внимание на приведёный пример. <br>&gt;Попробуйте заменить вашу строку на такую: <br>&gt;SSLRequire (%{SSL_CIPHER} !~ m/^(EXP&#124;NULL)-/ and %{SSL_CLIENT_I_DN_O} eq "an Organization" and %{SSL_CLIENT_S_DN_CN} ne <br>&gt;"an Organization test") <br><br>Спасибо огромное. Но вот тогда возникает такой вопрос, не очень понятного поведения софта.<br>поясню, 90% запросов этого клиента с этим сертификатом таки было отклонено, однако 10% где то прошло? в чем такая избирательность? Просто хочется разобраться с вопросом, чтоб не дисгармонировать более с реальностью =)<br><br>про ваш пример - буду пробовать, по результатам если интересно - могу отписаться :)<br>доку по OPenSSL а в частности SSL_CIPHER буду курить. Может и впрямь там и есть просветление.<br><br> https://opennet.ru/openforum/vsluhforumID8/6804.html#5 Wed, 31 Mar 2010 13:20:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslrequire <br>&gt;&gt;Если не ошибаюсь, там пример для вашего случая. <br>&gt;<br>&gt;SSLRequire %{SSL_CLIENT_I_DN_O} eq "an Organization" and %{SSL_CLIENT_S_DN_CN} ne "an Organization test" <br>&gt;<br>&gt;<br>&gt;Сертификаты выдаются собственным УЦ. Эта строчка служит для проверки принадлежносчти сертфиката нашему <br>&gt;УЦ. Других директив SSLRequire нет. <br>&gt;<br>&gt;диссонанс продолжает дисгармонировать =) <br><br>Я же говорю, чтоб вы обратили внимание на приведёный пример.<br>Попробуйте заменить вашу строку на такую:<br>SSLRequire (%{SSL_CIPHER} !~ m/^(EXP&#124;NULL)-/ and %{SSL_CLIENT_I_DN_O} eq "an Organization" and %{SSL_CLIENT_S_DN_CN} ne "an Organization test")<br> https://opennet.ru/openforum/vsluhforumID8/6804.html#4 Wed, 31 Mar 2010 13:08:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Эмм, коллега, везде где только можно прописано: <br>&gt;&gt;<br>&gt;&gt;SSLVerifyClient require <br>&gt;&gt;<br>&gt;&gt;что то другое видимо, или я Вас не правильно понял. <br>&gt;<br>&gt;Что-то другое, да не совсем. <br>&gt;http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslrequire <br>&gt;Если не ошибаюсь, там пример для вашего случая. <br><br>SSLRequire %{SSL_CLIENT_I_DN_O} eq "an Organization" and %{SSL_CLIENT_S_DN_CN} ne "an Organization test"<br><br><br>Сертификаты выдаются собственным УЦ. Эта строчка служит для проверки принадлежносчти сертфиката нашему УЦ. Других директив SSLRequire нет.<br><br>диссонанс продолжает дисгармонировать =)<br> https://opennet.ru/openforum/vsluhforumID8/6804.html#3 Wed, 31 Mar 2010 12:53:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;плз ) <br>&gt;&gt;<br>&gt;&gt;RTFM <br>&gt;&gt;http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslverifyclient <br>&gt;<br>&gt;Эмм, коллега, везде где только можно прописано: <br>&gt;<br>&gt;SSLVerifyClient require <br>&gt;<br>&gt;что то другое видимо, или я Вас не правильно понял. <br><br>Что-то другое, да не совсем.<br>http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslrequire<br>Если не ошибаюсь, там пример для вашего случая.<br> https://opennet.ru/openforum/vsluhforumID8/6804.html#2 Wed, 31 Mar 2010 12:02:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt;certificate has expired <br>&gt;&gt;<br>&gt;&gt;Прикол в том, что платеж таки попал в ядро. Как такое может <br>&gt;&gt;быть? т.е. почему просроченный сертификат хоть и обругался, но прошел в <br>&gt;&gt;систему? прошу обратить внимание что apache отдал ошибку 200 в тоже <br>&gt;&gt;время как обругался на сертификат. ?? я в когнитивном диссонансе. Объясните <br>&gt;&gt;плз ) <br>&gt;<br>&gt;RTFM <br>&gt;http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslverifyclient <br><br>Эмм, коллега, везде где только можно прописано:<br><br>SSLVerifyClient require<br><br>что то другое видимо, или я Вас не правильно понял.<br> https://opennet.ru/openforum/vsluhforumID8/6804.html#1 Wed, 31 Mar 2010 11:44:10 GMT &gt;[оверквотинг удален]<br>&gt;[26/Mar/2010:15:48:49 +0300] 83.143.192.33 0 TLSv1 EDH-RSA-DES-CBC3-SHA test@example.com 09C6 "GET /hyperkassa?function%&lt;skipped&gt;Б+1 HTTP/1.1" 200 302<br>&gt;apache_ssl_request.log: <br>&gt;[Fri Mar 26 15:48:49 2010] [error] [client 83.143.192.33] Certificate Verification: Error (10): <br>&gt;certificate has expired <br>&gt;<br>&gt;Прикол в том, что платеж таки попал в ядро. Как такое может <br>&gt;быть? т.е. почему просроченный сертификат хоть и обругался, но прошел в <br>&gt;систему? прошу обратить внимание что apache отдал ошибку 200 в тоже <br>&gt;время как обругался на сертификат. ?? я в когнитивном диссонансе. Объясните <br>&gt;плз ) <br><br>RTFM<br>http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslverifyclient<br>