[Mapserver-DE] https, Sicherheitszertifikat

Leonhard Dietze news at leole.de
Fre Mai 7 15:40:41 CEST 2010 

Am 07.05.2010 13:54, schrieb Lars Lingner:
> On 07.05.2010 12:59, Leonhard Dietze wrote:
> [...]
>> Hat jemand eine Idee oder kennt die Problematik? Wir sind nicht sicher,
>> wo das Problem liegt:
>> - auf der einen Seite könnte es daran liegen, dass das
>>     Sicherheitszertifikat nicht validiert ist (muss man beim
>>     ersten direkten Aufruf im Browser bestätigen und installieren)
>>     und der Mapserver so anstatt einer Karte eine textliche Meldung
>>     zurück bekommt.
>> - oder aber es liegt daran, dass eventuelle Sonderzeichen in den
>>     Zugangsdaten beim encode/decode kaputt gehen.
>> - Oder aber ???
>> Vom WMS-Dienst selbst wird nur eine leere Fehlermeldung zurückgegeben
>> und z.B. als "4be3ee6c_1e60_0.img.tmp" im mapimages-Verzeichnis
>> abgelegt. Hier hatten wir bei fehlerhaften Zugangsdaten zumindest eine
>> Mitteilung drin, dass die Benutzerdaten falsch sind - sonst ist die
>> Datei aber leer.
>>
>> Wir verwenden Mapserver 5.2, haben es aber auch u.a. mit "5.7-dev" (aus
>> FWTools2.4.7) versucht, um die neuen Sicherheitsfunktionalitäten zu
>> testen (http://trac.osgeo.org/mapserver/ticket/3070).
>>
>
> In diesem Ticket wird gezeigt wie das Zertifikat installiert wird. Hast
> Du das gemacht oder gabs da schon Probleme?
> Der Pfad zur Zertifikatdatei kann mittels
>
> CONFIG "CURL_CA_BUNDLE" "/path/to/my-ca-bundle.txt"
>
> konfiguriert werden. Oder auch als Umgebungsvariable.
>
> Wurde probiert mit curl direkt den Dienst anzusprechen? Gibt es da
> irgendwelche Meldungen?
>
> Und die letzte Frage: Was steht im MapServer-Logfile?
> Vielleicht hilft es das Loglevel zu erhöhen:
> http://www.mapserver.org/mapfile/map.html?highlight=MS_ERRORFILE
>
> Lars

Danke für die Rückmeldung. In dem Mapserver-Logfile kam keine Meldung
(auch bei erweitertem DEBUG-Level), danach zu urteilen schien alles
korrekt zu sein.

Ich habe mittels curl versucht den Server direkt anzusprechen, aber es
gibt nichts zurück bzw. sagte "unknown ssl protocol error" wenn ich
mit dem Parameter --ssl2 oder --ssl drauf gehe. Bei ssl3 sagt er,dass
es die "wrong version number" ist.

Danach habe ich versucht wie in der obigen Website beschrieben
mittels OpenSSL ("openssl.exe s_client -connect servername:80 -ssl2")
das Server Zertifikat zu holen, doch kam dann als Rückmeldung u.a.:
"no peer certificate available" - aber auch weitere Meldungen. Sieht
aber so aus, als hätte die Verbindung geklappt, nur dass er mir nicht
wie gewünscht ein Zertifikat zurückgibt ("CONNECTED(000000780)")

Es macht für mich den Eindruck, als wäre das Zertifikat des Servers
nicht offiziell validiert? Da ich mich mit ssl-Verbindungen noch nicht
so gut auskenne kann ich eben nicht sagen, ob ich mit dieser Vermutung
richtig liege? Vermutlich muss ich mich an eine Curl/ssl mailingliste
wenden.

Vielen Dank nochmal.
Viele Grüße,
Leonhard