[Mapserver-DE] https, Sicherheitszertifikat

Leonhard Dietze news at leole.de
Mon Mai 10 07:37:43 CEST 2010 

Am 07.05.2010 16:05, schrieb Lars Lingner:
> On 07.05.2010 15:40, Leonhard Dietze wrote:
>> Am 07.05.2010 13:54, schrieb Lars Lingner:
>>> On 07.05.2010 12:59, Leonhard Dietze wrote:
>>> [...]
>>>> Hat jemand eine Idee oder kennt die Problematik? Wir sind nicht sicher,
>>>> wo das Problem liegt:
>>>> - auf der einen Seite könnte es daran liegen, dass das
>>>>      Sicherheitszertifikat nicht validiert ist (muss man beim
>>>>      ersten direkten Aufruf im Browser bestätigen und installieren)
>>>>      und der Mapserver so anstatt einer Karte eine textliche Meldung
>>>>      zurück bekommt.
>>>> - oder aber es liegt daran, dass eventuelle Sonderzeichen in den
>>>>      Zugangsdaten beim encode/decode kaputt gehen.
>>>> - Oder aber ???
>>>> Vom WMS-Dienst selbst wird nur eine leere Fehlermeldung zurückgegeben
>>>> und z.B. als "4be3ee6c_1e60_0.img.tmp" im mapimages-Verzeichnis
>>>> abgelegt. Hier hatten wir bei fehlerhaften Zugangsdaten zumindest eine
>>>> Mitteilung drin, dass die Benutzerdaten falsch sind - sonst ist die
>>>> Datei aber leer.
>>>>
>>>> Wir verwenden Mapserver 5.2, haben es aber auch u.a. mit "5.7-dev" (aus
>>>> FWTools2.4.7) versucht, um die neuen Sicherheitsfunktionalitäten zu
>>>> testen (http://trac.osgeo.org/mapserver/ticket/3070).
>>>>
>>>
>>> In diesem Ticket wird gezeigt wie das Zertifikat installiert wird. Hast
>>> Du das gemacht oder gabs da schon Probleme?
>>> Der Pfad zur Zertifikatdatei kann mittels
>>>
>>> CONFIG "CURL_CA_BUNDLE" "/path/to/my-ca-bundle.txt"
>>>
>>> konfiguriert werden. Oder auch als Umgebungsvariable.
>>>
>>> Wurde probiert mit curl direkt den Dienst anzusprechen? Gibt es da
>>> irgendwelche Meldungen?
>>>
>>> Und die letzte Frage: Was steht im MapServer-Logfile?
>>> Vielleicht hilft es das Loglevel zu erhöhen:
>>> http://www.mapserver.org/mapfile/map.html?highlight=MS_ERRORFILE
>>>
>>> Lars
>>
>> Danke für die Rückmeldung. In dem Mapserver-Logfile kam keine Meldung
>> (auch bei erweitertem DEBUG-Level), danach zu urteilen schien alles
>> korrekt zu sein.
>>
>> Ich habe mittels curl versucht den Server direkt anzusprechen, aber es
>> gibt nichts zurück bzw. sagte "unknown ssl protocol error" wenn ich
>> mit dem Parameter --ssl2 oder --ssl drauf gehe. Bei ssl3 sagt er,dass
>> es die "wrong version number" ist.
>>
>> Danach habe ich versucht wie in der obigen Website beschrieben
>> mittels OpenSSL ("openssl.exe s_client -connect servername:80 -ssl2")
>> das Server Zertifikat zu holen, doch kam dann als Rückmeldung u.a.:
>> "no peer certificate available" - aber auch weitere Meldungen. Sieht
>> aber so aus, als hätte die Verbindung geklappt, nur dass er mir nicht
>> wie gewünscht ein Zertifikat zurückgibt ("CONNECTED(000000780)")
>>
>
> Der Port für https ist 443
> Ich habe es eben probiert:
>
> openssl s_client -connect www.geobasisdaten.niedersachsen.de:443
>
> Das bringt mir das Zertifikat
>
> ...
> -----BEGIN CERTIFICATE-----
> <hier steht das Zertifikat>
> -----END CERTIFICATE-----
> ...
>
> Dieses muss nun lokal abgespeichert werden und der Pfad zur Datei in
> CURL_CA_BUNDLE geschrieben werden.
>
> Hilft das weiter?
>

Sorry wegen der verspäteten Antwort. Und danke: ich hatte gar nicht
dran gedacht, dass https nicht über den default-Port läuft. Jetzt
habe ich das Zertifikat auch!