[Mapserver-DE] https, Sicherheitszertifikat

[Lars Lingner]

On 07.05.2010 15:40, Leonhard Dietze wrote:
> Am 07.05.2010 13:54, schrieb Lars Lingner:
>> On 07.05.2010 12:59, Leonhard Dietze wrote:
>> [...]
>>> Hat jemand eine Idee oder kennt die Problematik? Wir sind nicht sicher,
>>> wo das Problem liegt:
>>> - auf der einen Seite könnte es daran liegen, dass das
>>>     Sicherheitszertifikat nicht validiert ist (muss man beim
>>>     ersten direkten Aufruf im Browser bestätigen und installieren)
>>>     und der Mapserver so anstatt einer Karte eine textliche Meldung
>>>     zurück bekommt.
>>> - oder aber es liegt daran, dass eventuelle Sonderzeichen in den
>>>     Zugangsdaten beim encode/decode kaputt gehen.
>>> - Oder aber ???
>>> Vom WMS-Dienst selbst wird nur eine leere Fehlermeldung zurückgegeben
>>> und z.B. als "4be3ee6c_1e60_0.img.tmp" im mapimages-Verzeichnis
>>> abgelegt. Hier hatten wir bei fehlerhaften Zugangsdaten zumindest eine
>>> Mitteilung drin, dass die Benutzerdaten falsch sind - sonst ist die
>>> Datei aber leer.
>>>
>>> Wir verwenden Mapserver 5.2, haben es aber auch u.a. mit "5.7-dev" (aus
>>> FWTools2.4.7) versucht, um die neuen Sicherheitsfunktionalitäten zu
>>> testen (http://trac.osgeo.org/mapserver/ticket/3070).
>>>
>>
>> In diesem Ticket wird gezeigt wie das Zertifikat installiert wird. Hast
>> Du das gemacht oder gabs da schon Probleme?
>> Der Pfad zur Zertifikatdatei kann mittels
>>
>> CONFIG "CURL_CA_BUNDLE" "/path/to/my-ca-bundle.txt"
>>
>> konfiguriert werden. Oder auch als Umgebungsvariable.
>>
>> Wurde probiert mit curl direkt den Dienst anzusprechen? Gibt es da
>> irgendwelche Meldungen?
>>
>> Und die letzte Frage: Was steht im MapServer-Logfile?
>> Vielleicht hilft es das Loglevel zu erhöhen:
>> http://www.mapserver.org/mapfile/map.html?highlight=MS_ERRORFILE
>>
>> Lars
> 
> Danke für die Rückmeldung. In dem Mapserver-Logfile kam keine Meldung
> (auch bei erweitertem DEBUG-Level), danach zu urteilen schien alles
> korrekt zu sein.
> 
> Ich habe mittels curl versucht den Server direkt anzusprechen, aber es
> gibt nichts zurück bzw. sagte "unknown ssl protocol error" wenn ich
> mit dem Parameter --ssl2 oder --ssl drauf gehe. Bei ssl3 sagt er,dass
> es die "wrong version number" ist.
> 
> Danach habe ich versucht wie in der obigen Website beschrieben
> mittels OpenSSL ("openssl.exe s_client -connect servername:80 -ssl2")
> das Server Zertifikat zu holen, doch kam dann als Rückmeldung u.a.:
> "no peer certificate available" - aber auch weitere Meldungen. Sieht
> aber so aus, als hätte die Verbindung geklappt, nur dass er mir nicht
> wie gewünscht ein Zertifikat zurückgibt ("CONNECTED(000000780)")
> 

Der Port für https ist 443
Ich habe es eben probiert:

openssl s_client -connect www.geobasisdaten.niedersachsen.de:443

Das bringt mir das Zertifikat

...
-----BEGIN CERTIFICATE-----
<hier steht das Zertifikat>
-----END CERTIFICATE-----
...

Dieses muss nun lokal abgespeichert werden und der Pfad zur Datei in
CURL_CA_BUNDLE geschrieben werden.

Hilft das weiter?

Lars