SSL Authentifizierung

[Martin_Egli]

Ich versuch nun schon seit einigen Wochen die SSL Authentifizierung für Clients bei ausgewählte Order einzurichten (MeineSeite/test), leider funktioniert dies bis jetzt bei mir nicht. Die gesicherte Seite ist nicht zugänglich da das Zertifikat nicht angefragt wird, der Teil der zugänglich sein soll ist korrekt zugänglich. Ich kann das Ganze für den ganzen VirtualHost einrichten das heisst jeder Aufruf MeineSeite benötigt das Zertifikat, doch ich möchte eigentlich nur den Bereich MeineSeite/Test gesichert haben. Ich habe das Ganze mit dem Apache2 IPK und mit dm normalen apache versucht und bei beiden das gleiche bekommen. Das OpenSSL ist aktuell. Mein Config sieht so aus:

<IfModule ssl_module>
SSLEngine on
SSLCertificateKeyFile "/opt/etc/apache2/server.key"
SSLCertificateFile "/opt/etc/apache2/server.crt"
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCACertificateFile etc/apache2/certificate/ca.crt

<Location "/test">
SSLVerifyDepth 2
SSLVerifyClient require
</Location>

</IfModule>

Wenn ich Location durch Directory mit dem passenden Pfad angebe, verhält es sich gleich wie mit Loction. Wie schon oben erwähnt, wenn ich den Tag Location weglasse, wird das Client Zertifikat korrekt angefragt und alles tut wie es sollte (aber eben für den ganzen VirtualHost). Daraus folgere ich, dass die Zertifikate korrekt sind und nicht das Problem macht. Im Log finde mich auch keinen Error, der auf ein Problem hinweisen würde. Ist das bei euch auch so? Laut diversen Linux Seiten sollte es mit Location gehen, ist dieses Problem eine Eigenheit von Synology?

 

[itari]

Eventuell ist der Pfad '/test' in der Location-Klausel nicht korrekt.

Itari

 

[jahlives]

Auch gemäss Apache Manual müsste Location eigentlich gehen

 

[Martin_Egli]

@Itari

/test ist korrekt, ich hab es mit diversen Namen versucht. Wenn der Namen Falsch war hatte ich ohne Zertifikat natürlich Zugriff. /test ist also richtig.

@jahlives

Das meinte ich auch, aber es geht nicht :-( Kannst du das Problem nachvollziehen?

 

[itari]

/test ist korrekt, ich hab es mit diversen Namen versucht. Wenn der Namen Falsch war hatte ich ohne Zertifikat natürlich Zugriff. /test ist also richtig.

In deinem ersten Post schreibst: 'MeineSeite/Test' und dabei 'Test' mit großem 'T'.

In deiner Location aber mit kleinem 't'. Nun kann ich nicht wissen, ob das wirklich so ist, oder ob du hier im Forum Schreibfehler hast. Deswegen mein 'eventuell' ...

Itari

 

[Martin_Egli]

Klar

MeineSeite/test

ist nur ein abstraktes Beispiel. Der Aufruf und der Location sind identisch und ich hab mich da etwas verschrieben.

Kann jemand das Problem nachvollziehen?

 

[Martin_Egli]

Ich habe die Einstellungen mit einem Apache für Windows getestet und da funktioniert die Authentifizierung mit den Zertifikaten. Ich habe die gleichen Zertifikate wie auf der Synology DS210j mit nestem DSM verwendet.