ssl con plesk (9.3)

[fjstudio]

Ciao,

Io avrei fatto le seguenti modifiche.

Nel file vhost.conf del dominio in oggetto:

Codice PHP:

<Directory /var/www/vhosts/mydomain.com/httpsdocs>
 SSLVerifyClient require
 SSLVerifyDepth 1
</Directory> 


(Notare la cartella httpsdocs)

Ho impostato il VerifyDepth su 1 (come da guida indicherebbe il numero massimo di intermediari tra la CA ed il client, dovrebbe essere giusto così credo)

Ho poi eseguito

Codice PHP:

/usr/local/psa/admin/sbin/websrvmng --reconfigure-vhost --vhost-name=mydomain.com
 
/etc/init.d/httpd graceful 


Purtroppo però il risultato non cambia, se vado su https://www.mydomain.com vedo sempre la pagina di benvenuto di plesk piuttosto di essere buttato fuori (dato che non ho installato il certificato client nel browser)

Suggerimenti ?

[fjstudio]

Ciao,

Credo che forse ci siamo. Dovevo mettere la direttiva di cui sopra in vhost_ssl.conf.

Adesso se provo ad andare a quella pagina, prima mi viene mostrato l'alert del browser sul certificato (ie) poi vengo buttato fuori. (FF ti butta fuori subito).

Adesso provo avendo installato il certificato nel browser

[fjstudio]

Ciao,

E' veramente dura spiegarsi con chiarezza, ma ci provo.

Dopo svariate ore di prove sono arrivato alla conclusione che con plesk quello che vorrei fare io non non credo si possa fare nemmeno acquistando un certificato a pagamento. (in quanto non credo che quando si acquista un cert a pagamento ti diano anche quelli client .pfx, .p12)

Salvo che non sbaglio qualcosa il ragionamento è il seguente.
Dopo essermi generato i certificati vado sulle opzioni ssl del dominio carico i certificati ssl rispettivamente server.key, server.pem e ca.pem.
Plesk a questo punto risponde ok anche se manca la parte csr del certificato.
(spiego questo in fondo al post)

Rigenero con websrvmng il vhost e restarto apache affinchè si aggiorni il file http.include che adesso ha due direttive in più:

Codice PHP:

SSLCertificateFile /path/to/file
SLLCACertificateFile /path/to/file 


Plesk mette questi file in /usr/local/psa/var/certificates

Adesso se vado su https://www.mydomain.com vengo buttato fuori sia che abbia il certificato client oppure no.

Infatti nel file di log del dominio è presente il seguente errore

Codice PHP:

[Tue May 25 15:19:32 2010] [error] Re-negotiation handshake failed: Not accepted by client!? 


e nel file di log di apache è presente il seguente errore

Codice PHP:

RSA server certificate CommonName (CN) `localhost.localdomain' does NOT match server name!? 


.

Quindi dopo un po capisco che apache sta tentando di autenticarmi rispetto ai file di default specificati in ssl.conf che sono appunto /etc/pki .... localhost.key e localhost.cert.

Qundi prova a mettere nel file vhost_ssl.conf la direttiva

Codice PHP:

SSLCertificateKeyFile /path/to/server.key 


Ma purtroppo ricevo l'errore al riavvio di apache. L'errore è che queste direttive non possono stare nel file vhost_ssl.conf a quanto dice apache (httpd -t).

Qundi sembra che non ci sia modo di caricare attraverso plesk un set completo di certificati a meni di genarare la parte CSR da plesk; Ma a questo punto poi non sono più in grado di generarmi tutti gli altri certificati partendo da questo.

L'unica soluzione sarebbe intervenire in maniera pesante in httpd.include (cosa da non fare assolutamente), per specificare le direttive SSL che li sono ammesse.

Forse si può disabilitare il SSLVerifyClient e creare un sistema lato script per verificare il client-certificate non saprei.

Altre soluzioni non ne vedo.

[Uno]

Ma sul client hai un certificato valido? Lo hai creato?

[fjstudio]

Ma sul client hai un certificato valido? Lo hai creato?

Ciao,

Presumo che siano validi dai controlli tornano.
Li ho creati seguendo questo tutorials
Van's Apache SSL/TLS mini-HOWTO
(ho ripreso solo la parte dei certificati adattandolo alla mia situazione)

L'unica cosa che mi rimane da provare è di firmarli con l'utility sign.sh per la quuale mi sono documentato ieri. Anche se a livello di dialogo client/server per adesso questo non può essere il problema;

Sembra che non ci sia modo di importare un certificato completo da plesk a meno di non partire dalla privatekey e crt generati da plesk (ma seguendo questa strada poi come mi posso generare gli altri ?)

Grazie per la risposta

Ciao

[fjstudio]

Ciao,

Avrei fatto qualche passo in avanti, adesso credo che manchi solo un'ultima cosa ma non riesco ad arrivarci.
(per chi legge solo questo post ricordo che sono centos5.4 plesk9.3 e cho ho ip dedicato per il dominio ssl)


Ho risolto il problema della generazione dei certificati facendo le seguenti operazioni:

• Dal pannello plesk sotto il dominio vado su aggiungi certificato. Poi compilo i campi correttamente e clicco su request.
• Mi viene generata le server.key non passwordata e la parte csr.
• Poi dal server attraverso openssl creo la chiave ca.key e il certificato ca.crt
• Attraverso l'utility sign.sh (non facile da trovare e configurare) sono poi riuscito a firmare il certificato server server.crt
• Torno sul pannello di controllo plesk ed aggiugo il certificato server firmato server.crt e il certificato ca ca.crt
• Plesk lo digerisce senza problemi adesso ho tutto il set di certificati corretti (da cui poi mi posso generari i miei cert client .pfx e .p12
• Riconfiguro il vhost con websrvmng stoppo e restarto apache provo ad andare su https://www.mydomain.com ma il certificato mostrato dal browser è sempre quello di default
• A questo punto cerco ancora info e dopo un po trovo questa interessante kb KB Parallels: I receive a wrong certificate when I open any domain via HTTPS. I added the certificate under server settings, assigned this certificate to an IP, set default domain for the IP and restarted Apache. But if I open https://domain.tld I st dove dicono di intervenire in /etc/conf.d/ssl.conf e di togliere tutto quello che sta tra <VirtualHost _default_:443> e il suo relativo tag di chiusura
• Faccio un backup di tutti i file di conf e poi applico la modifica. Stoppo restarto apache.
• Provo ad andare di nuovo su https://www.mydomain.com ma ancora vedo il certificato di default

Dato che adessol in ssl.conf non ci sono più i riferimenti ai certificati di default localhost.crt, localhost.key non riesco a comprendere da quali file possa prendere queste impostazioni, salvo che ci sia un qualche sistema di cache il quale richiede il riavvio della macchina. Qualche suggerimento in merito ?

Credo che risolvendo questo particolare poi debba andare per forza.

Ogni suggerimento è gradito

Ciao

[fjstudio]

Ciao,

Sono riuscito a far andare il tutto.

Il file responsabile di quest'ultima anomalia è /etc/conf.d/*psa_httpd.conf

Quà succedono cose davvero strane.

Vi è una direttiva che richiama il certificato di default. Se la si decommenta sperando che vengano interpetati i valori del file di conf del dominio httpd.include, apache non riparte. L'unico modo che ho trovato per far quadrare il tutto è intervenire appunto nel file psa_httpd.conf all'interno del tag <VirualHost IP:443> specificando qua i valori SSLCerificateFile e SSLCACertificate file. Coì funziona.

Per fare le cose fatte bene però e completare il tutto è da capire se le configurazioni di default in ssl.conf per il default virtualhost possono essere scritte anche nel file vhost_ssl.conf oppure se vannno scritte in psa_httpd.conf.

L'unica è andare per tentativi. In ogni caso plesk sotto l'aspetto della gestione ssl è fatto male secondo me.

Grazie per il vostro aiuto alla prossima.

Ciao