5 1 0: Konfiguration der SSL-gesicherten Kommunikation für das SEP sesam Sicherungsnetzwerk

From SEPsesam
This page is a translated version of the page 5 1 0:Configuring SSL Secured Communication for SEP sesam Backup Network and the translation is 100% complete.


Willkommen in der aktuellsten Version der SEP sesam Dokumentation 5.1.0 Apollon. Frühere Versionen der Dokumentation finden Sie hier: Documentation Archiv.


Übersicht


SEP sesam verwendet das SSL (Secure Sockets Layer) Protokoll, um Identitäten zu authentifizieren, Daten zu verschlüsseln und sicher zu übertragen. SSL benötigt Zertifikate, um Clients zu authentifizieren und einen sicheren und vertrauenswürdigen Kommunikationskanal zwischen SBC (SEP sesam Backup Client) und STPD (sesam Transfer Protocol Server) aufzubauen, um so den unbefugten Zugriff von Clients auf STPD zu verhindern. Die SEP sesam Sicherungsumgebung wird mit selbstsignierten Zertifikaten, basierend auf OpenSSL, geschützt. SEP sesam stellt standardmäßig keine Zertifikate zur Verfügung. Sie müssen von einem Administrator erstellt und auf Clients und RDSs im Sicherungsnetzwerk kopiert werden.

  1. Erstellen einer selbstsignierten Root-Zertifizierungsstelle (CA - Certificate Authority) auf dem SEP sesam Server
  2. Erstellen von Server- und Client-Zertifikaten auf dem SEP sesam Server und Kopieren dieser auf Server und Clients
  3. Erzeugen und Kopieren des Serverzertifikats für jeden RDS
  4. Bearbeiten der Konfigurationsdatei auf jedem Client und Server oder RDS
  5. Falls ein Client-Zertifikat nicht mehr vertrauenswürdig ist, Widerrufen eines Zertifikats.
  6. Aufrufen einer Funktion auf dem SEP sesam Server, um eine Autorisierung zu erhalten.

Verzeichnisstruktur für die SSL-Zertifikate

Die folgende Verzeichnisstruktur wird für die Speicherung der SSL-Zertifikate und der zugehörigen Parameter verwendet:

Was

Wo

SEP sesam Konfigurationsdateien: sm.ini und stpd.ini

/var/opt/sesam/var/ini

Root-SSL-Zertifikat und Hauptschlüssel: rootCA.pem und rootCA.key

/var/opt/sesam/var/ini/ca

Erstelltes Client-Zertifikat und Schlüssel: client.pem und client.key

/var/opt/sesam/var/ini/x.509

Erstelltes Serverzertifikat und Schlüssel: server.pem und server.key

/var/opt/sesam/var/ini/ssl

Schritte

Erstellen einer selbstsignierten Root-Zertifizierungsstelle (CA - Certificate Authority) auf dem SEP sesam Server

  1. Entfernen Sie auf dem SEP sesam Server alle alten selbst generierten SSL-Schlüssel aus:
     /var/opt/sesam/var/ini/ssl
  2. Erstellen Sie dann die Verzeichnisse /ca und /x.509, um Ihre Schlüssel und Zertifikate zu speichern:
     /var/opt/sesam/var/ini/ca
     /var/opt/sesam/var/ini/x.509
  3. Um das Root-Zertifikat zu erstellen, führen Sie das sm_ssl_cert ca Kommandozeilenprogramm wie gezeigt aus:
     /opt/sesam/bin/sms/sm_ssl_cert ca

Im Ordner /var/opt/sesam/var/ini/ca erstellt der Prozess zwei Dateien:

  • Ein Hauptschlüssel, auch bekannt als rootCA.key: Halten Sie diesen Schlüssel geheim, da er für die Erstellung neuer Server- und Client-Zertifikate benötigt wird und die Vertrauensbasis für alle Ihre Zertifikate darstellt.
  • Anmerkung
    Nach der Erzeugung der Server- und Client-Schlüssel sollten Sie den rootCA.key vom Server entfernen und an einem sicheren Ort aufbewahren.
  • Ein Root-SSL-Zertifikat rootCA.pem: Es wird verwendet, um bestehende Server- und Client-Zertifikate zu überprüfen. Achten Sie darauf, dass die Root-CA ein spätes Verfallsdatum hat. Sobald es abgelaufen ist, werden alle von diesem Zertifikat signierten Zertifikate ungültig. Dieses Zertifikat muss auf allen Clients vorhanden sein, die sich mit Servern verbinden, die mit dem CA-Zertifikat signiert sind.

Sobald Sie das CA-Zertifikat und den Schlüssel erstellt haben, können Sie Zertifikate erstellen und signieren.

Erstellen von Server- und Client-Zertifikaten auf dem SEP sesam Server

  1. Zuerst müssen Sie das Serverzertifikat auf dem SEP sesam Server erstellen:
  2. /opt/sesam/bin/sms/sm_ssl_cert server --common-name=''<hostname>''

    wobei <Hostname> mit dem Namen übereinstimmen muss, der in den Schnittstelleneinstellungen in der GUI spezifiziert ist (Auswahl -> Komponenten -> Topologie -> Clients, <Servername> -> Feld Schnittstellen).

    Sie können auch die IP-Adresse für <Hostname> verwenden oder ein * (Sternchen) im Hostnamen einsetzen, z. B. *.serverdomain.com oder 192.168.1.*. Mehrere Server- oder Domänennamen müssen durch ein Komma getrennt werden, z. B.:

    /opt/sesam/bin/sms/sm_ssl_cert server --common-name=myserver,myserver.domain.com

    Danach gibt es zwei neue Dateien im Ordner /var/opt/sesam/var/ini/ssl:

    server.pem 
    server.key
  3. Kopieren Sie die Dateien für jeden Server wie folgt:
    • Kopieren Sie rootCA.pem nach /var/opt/sesam/var/ini/ca
    • Kopieren Sie client.pem nach /var/opt/sesam/var/ini/x.509
    • Kopieren Sie client.key nach /var/opt/sesam/var/ini/x.509
  4. Erstellen Sie dann das Client-Zertifikat auf dem SEP sesam Server:
  5.  /opt/sesam/bin/sms/sm_ssl_cert client 

    Optional können Sie den Schlüssel client.pem/client mit einem eindeutigen Betreff-Feld erstellen:

    /opt/sesam/bin/sms/sm_ssl_cert client --oid={options}
       {options}:      kommagetrennte Liste von
       C:{country_name}             - Ländername
      CN:{common_name}              - Gemeinsamer Name
      DQ:{dn_qualifier}             - Unterscheidungsmerkmal für den Namen
      GN:{given_name}               - Rufname
      GQ:{generation_qualifier}     - Generationskennzeichen
       I:{initials}                 - Initialen einiger oder aller Namen einer Person, aber nicht der Nachname(n)
       L:{locality_name}            - Ortsname
       N:{name}                     - Name
       O:{organization_name}:       - Name der Organisation
      OU:{organizational_unit_name} - Name der Organisationseinheit
       P:{pseudonym}                - Pseudonym
      PC:{postalcode}               - Postleitzahl
       S:{surname}                  - Nachname
       T:{title}                    - Titel
    

    Anschließend befinden sich zwei neue Dateien in dem Ordner /var/opt/sesam/var/ini/x.509:

    client.pem 
    client.key 
  6. Kopieren Sie für jeden Client die Dateien wie folgt auf den Client:
    • Kopieren Sie rootCA.pem nach /var/opt/sesam/var/ini/ca
    • Kopieren Sie client.pem nach /var/opt/sesam/var/ini/x.509
    • Kopieren Sie client.key nach /var/opt/sesam/var/ini/x.509

Erzeugen und Kopieren von Serverzertifikaten für jeden RDS

Wenn Sie möchten, dass Ihre RDSs ein eigenes Serverzertifikat haben, müssen Sie für jeden RDS ein Serverzertifikat erzeugen. In diesem Fall haben der SEP sesam Server und jeder RDS sein eigenes Serverzertifikat, das mit der gleichen selbstsignierten Root CA signiert ist. Diese Konfiguration erlaubt es, einen Client entweder auf den SEP sesam Server oder einen beliebigen RDS zu sichern.

  1. Um das Serverzertifikat für jeden RDS zu generieren, führen Sie den folgenden Befehl aus:
  2. /opt/sesam/bin/sms/sm_ssl_cert server --common-name=''<RDS_hostname>'' --path=''<RDS_server_certificate_path>''
  3. Kopieren Sie die generierten Dateien server.pem und server.key aus <RDS_server_certificate_path> auf jeden RDS in den Ordner /var/opt/sesam/var/ini/ssl.
  4. Kopieren Sie rootCA.pem auf jeden RDS in den Ordner /var/opt/sesam/var/ini/ca.
Anmerkung
Die gesamte Erstellung wird nur auf dem Server durchgeführt.

Bearbeiten Sie die Konfigurationsdatei auf jedem Client und Server oder RDS

Auf SEP sesam Client
  1. Suchen Sie die Datei /var/opt/sesam/var/ini/sm.ini auf dem SEP sesam Client. Öffnen Sie die sm.ini Datei mit einem Texteditor und setzen Sie die folgenden Einstellungen:
  2. [SBC_SSL]
    SBC_CLIENT_SSL_AUTH=1   #Für die client-seitige Überprüfung
    SBC_SSL_SERVER_VERIFY=1 #Für die serverseitige Überprüfung
  3. Wenn Sie die Einstellungen geändert haben, speichern Sie Ihre Änderungen und starten Sie den Client neu, damit die Änderungen wirksam werden.
Auf SEP sesam Server oder RDS
  1. Suchen Sie die Datei /var/opt/sesam/var/ini/stpd.ini auf dem SEP sesam Server. Öffnen Sie die stpd.ini Datei mit einem Texteditor und setzen Sie die folgenden Einstellungen:
  2. [STPD_Server]
    STPD_HTTPS_USE_CLIENT_CERT=2 

    Mögliche Werte:

       0: Nicht validieren
       1: Validieren, aber Warnung anzeigen 
       2: Validieren und Fehler anzeigen
    
  3. Wenn Sie die Einstellungen geändert haben, speichern Sie Ihre Änderungen und starten Sie den Server neu, damit die Änderungen wirksam werden.

Client-Zertifikat widerrufen

Wenn einem Client-Zertifikat nicht mehr vertraut werden kann (z.B. weil es bekannt wurde), ist es wichtig, das Client-Zertifikat zu annullieren. In diesem Fall benötigt der Server eine Möglichkeit, das ungültige Zertifikat zu identifizieren und Clients die Verbindung mit diesem Zertifikat zu verbieten. Eine Möglichkeit ist die Verwendung von Certificate Revocation Lists (CRLs). CRLs sind eine Liste aller ungültigen Zertifikate.

Um das Client-Zertifikat (client.pem) in die CRL aufzunehmen, gehen Sie wie folgt vor:

  1. Erstellen Sie die Verzeichniss:
  2. /var/opt/sesam/var/ini/revoked
  3. Erstellen Sie Certificate Revocation Lists (CRLs) auf dem Server:
  4. /opt/sesam/bin/sms/sm_ssl_cert revoke --certificate="/var/opt/sesam/var/ini/x.509/client.pem"
    Anmerkung
    Die Erstellung von Certificate Revocation Lists funktioniert nur unter Linux. Vermutlich ist das Problem unter Windows eine alte (wahrscheinlich selbst erstellte/konfigurierte) Version von GnuTLS lib. Um eine CRL-Datei unter Windows zu erstellen, müssen Sie zunächst GnuTLS von ftp gnutls herunterladen.
    Es werden zwei Dateien erstellt in /var/opt/sesam/var/ini/revoked
     crt
     certs.pem
  5. Im Falle einer RDS-Konfiguration kopieren Sie bitte auch auf den RDS-PC:
  6. crt ==> /var/opt/sesam/var/ini/revoked

Beispiel

Wenn ein Client mit widerrufenem Zertifikat versucht, eine Verbindung zu einem Server herzustellen:

2016-08-30 18:05:01: sbc-3536: Info:     # SEP XBSA, VERSION: 4.4R3 Build: e77d80b, Released: Aug 30 2016 #
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-30 18:05:01: sbc-3500: Info:     Verify SSL Server Cert: 1
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: URL: https://SEP-RDSWin10:11443
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: SSL integrity check enabled
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: SSL client authentication is enabled
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: BSACreateObject: Error:  GNUTLS_CERT_REVOKED
20160830 18:05:01.709 [3428] ConnectionHandlerCb:: new connection
20160830 18:05:01.709 [3428] ConnectionHandlerCb:: Call connection callback
20160830 18:05:01.710 [3428] SSLConnectionCb:: Starting SSL connection
20160830 18:05:01.710 [3428] SSL mode. Checking for client certificate
20160830 18:05:01.731 [3428] SSL error: Error:  GNUTLS_CERT_REVOKED

Zur gleichen Zeit versucht ein anderer Client mit einer anderen client.pem/client.key eine Verbindung zu einem Server herzustellen:

2016-08-30 18:06:33: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: e77d80b, Released: Aug 30 2016 #
2016-08-30 18:06:33: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-30 18:06:33: sbc-3502: Info:    XBSA:  URL: https://SEP-RDSWin10:11443
2016-08-30 18:06:33: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-30 18:06:33: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-30 18:06:33: sbc-3007: Info:    Operation successful.

Nützliche Befehle

curl -X "PUT" -F file=@c:\windows\system32\drivers\etc\hosts -H "XBSA-USER:SESAM_SECURE_AUTHENTICATION" -H  "XBSA-PASS:" \
-H "XBSA-TYPE:I" -H "XBSA-CWD:." -H "XBSA-STOR:TestBak.bak" -H "XBSA-QUIT" https://aoseredchuk-PC:11443 \
--key "c:\Program Files\SEPsesam\var\ini\x.509\client.key" --cacert "c:\Program Files\SEPsesam\var\ini\ca\rootCA.pem" \
--cert "c:\Program Files\SEPsesam\var\ini\x.509\client.pem" --ipv4 --tlsv1.0 --verbose
openssl s_client -connect aoseredchuk-PC:11443 -CAfile "c:\Program Files\SEPsesam\var\ini\ca\rootCA.pem" \
-cert "c:\Program Files\SEPsesam\var\ini\x.509\client.pem" -key "c:\Program Files\SEPsesam\var\ini\x.509\client.key"
openssl x509 -in "c:\Program Files\SEPsesam\var\ini\ca\rootCA.pem" -noout -text
openssl x509 -in "c:\Program Files\SEPsesam\var\ini\x.509\client.pem" -noout -text

Prüfung des Zertifikats

Test mit richtige Zertifikaten

Authentifizierung von Clients: [erfolgreich]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=0

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:00:45: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:00:45: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:00:45: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:00:45: sbc-3502: Info:    XBSA:  Warning: SSL integrity check disabled
2016-08-29 15:00:45: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-29 15:00:46: sbc-3007: Info:    Operation successful.
Authentifizierung vom Server: [erfolgreich]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=0
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:34:50: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:34:50: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:34:50: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:34:50: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:34:50: sbc-3502: Info:    XBSA:  SSL client authentication is disabled
...
2016-08-29 15:34:52: sbc-3007: Info:    Operation successful.
Doppelte Authentifizierung: [erfolgreich]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:01:13: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:01:13: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:01:13: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:01:13: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:01:13: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-29 15:01:13: sbc-3007: Info:    Operation successful.

Test mit falschen client.key/pem Zertifikaten

Authentifizierung von Clients: [fehlgeschlagen]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=0

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:01:59: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  Warning: SSL integrity check disabled
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  BSACreateObject: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:01:59: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:01:59: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:01:59: sbc-3005: Info:    Closing saveset.
2016-08-29 15:01:59: sbc-3310: Info:    Checksum (adler32): 1. (test)
2016-08-29 15:01:59: sbc-3052: Info:    Items processed correctly: [0]. Not processed or incorrectly processed items: [0]. (test)
2016-08-29 15:01:59: sbc-1156: Error:   Operation failed!
20160829 15:01:59.878 [16340] ConnectionHandlerCb:: new connection
20160829 15:01:59.878 [16340] ConnectionHandlerCb:: Call connection callback
20160829 15:01:59.879 [16340] SSLConnectionCb:: Starting SSL connection
20160829 15:01:59.879 [16340] SSL mode. Checking for client certificate
20160829 15:01:59.880 [16340] SSL error: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
Authentifizierung vom Server: [erfolgreich]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=0
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:33:05: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:33:05: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:33:05: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:33:05: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:33:05: sbc-3502: Info:    XBSA:  SSL client authentication is disabled
...
2016-08-29 15:33:07: sbc-3007: Info:    Operation successful.
Doppelte Authentifizierung: [fehlgeschlagen]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:01:46: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:01:46: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:01:46: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:01:46: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:01:46: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
2016-08-29 15:01:47: sbc-3502: Info:    XBSA:  BSACreateObject: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:01:47: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:01:47: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:01:47: sbc-3005: Info:    Closing saveset.
2016-08-29 15:01:47: sbc-3310: Info:    Checksum (adler32): 1. (test)
2016-08-29 15:01:47: sbc-3052: Info:    Items processed correctly: [0]. Not processed or incorrectly processed items: [0]. (test)
2016-08-29 15:01:47: sbc-1156: Error:   Operation failed!
20160829 15:01:46.987 [18740] ConnectionHandlerCb:: new connection
20160829 15:01:46.987 [18740] ConnectionHandlerCb:: Call connection callback
20160829 15:01:46.987 [18740] SSLConnectionCb:: Starting SSL connection
20160829 15:01:46.988 [18740] SSL mode. Checking for client certificate
20160829 15:01:46.989 [18740] SSL error: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND

Test mit falschen rootCA.pem Zertifikaten

Authentifizierung von Clients: [erfolgreich]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=0

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:28:21: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:28:21: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:28:21: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:28:21: sbc-3502: Info:    XBSA:  Warning: SSL integrity check disabled
2016-08-29 15:28:21: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-29 15:28:26: sbc-3007: Info:    Operation successful.
Authentifizierung vom Server: [fehlgeschlagen]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=0
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:48:54: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:48:54: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:48:54: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:48:54: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:48:54: sbc-3502: Info:    XBSA:  SSL client authentication is disabled
2016-08-29 15:48:57: sbc-3502: Info:    XBSA:  BSACreateObject: Client SSL certificate is missing or invalid
2016-08-29 15:48:57: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:48:57: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Client SSL certificate is missing or invalid
20160829 15:48:54.800 [2808] ConnectionHandlerCb:: new connection
20160829 15:48:54.800 [2808] ConnectionHandlerCb:: Call connection callback
20160829 15:48:54.801 [2808] SSLConnectionCb:: Starting SSL connection
20160829 15:48:56.218 [2808] SSL mode. Checking for client certificate
20160829 15:48:57.028 [2808] SSL error: Client SSL certificate is missing or invalid
Doppelte Authentifizierung: [erfolgreich]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:49:56: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:49:56: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:49:56: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:49:56: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:49:56: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-29 15:50:03: sbc-3007: Info:    Operation successful.

Test mit falschen rootCA.pem und client.key/pem Zertifikaten

Authentifizierung von Clients: [fehlgeschlagen]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=0

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:44:50: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:44:50: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:44:50: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:44:50: sbc-3502: Info:    XBSA:  Warning: SSL integrity check disabled
2016-08-29 15:44:50: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
2016-08-29 15:44:53: sbc-3502: Info:    XBSA:  BSACreateObject: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
20160829 15:44:50.877 [18796] ConnectionHandlerCb:: new connection
20160829 15:44:50.878 [18796] ConnectionHandlerCb:: Call connection callback
20160829 15:44:50.878 [18796] SSLConnectionCb:: Starting SSL connection
20160829 15:44:52.451 [18796] SSL mode. Checking for client certificate
20160829 15:44:53.158 [18796] SSL error: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
Authentifizierung vom Server: [fehlgeschlagen]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=0
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:42:36: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:42:36: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:42:36: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:42:36: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:42:36: sbc-3502: Info:    XBSA:  SSL client authentication is disabled
2016-08-29 15:42:39: sbc-3502: Info:    XBSA:  BSACreateObject: Client SSL certificate is missing or invalid
2016-08-29 15:42:39: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:42:39: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Client SSL certificate is missing or invalid
20160829 15:42:37.051 [11924] ConnectionHandlerCb:: new connection
20160829 15:42:37.052 [11924] ConnectionHandlerCb:: Call connection callback
20160829 15:42:37.052 [11924] SSLConnectionCb:: Starting SSL connection
20160829 15:42:38.363 [11924] SSL mode. Checking for client certificate
20160829 15:42:39.072 [11924] SSL error: Client SSL certificate is missing or invalid
Doppelte Authentifizierung: [fehlgeschlagen]
[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2
2016-08-29 15:41:39: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:41:39: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:41:39: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:41:39: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:41:39: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
2016-08-29 15:41:42: sbc-3502: Info:    XBSA:  BSACreateObject: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:41:42: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:41:42: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
20160829 15:41:39.831 [0728] ConnectionHandlerCb:: new connection
20160829 15:41:39.831 [0728] ConnectionHandlerCb:: Call connection callback
20160829 15:41:39.832 [0728] SSLConnectionCb:: Starting SSL connection
20160829 15:41:41.218 [0728] SSL mode. Checking for client certificate
20160829 15:41:41.927 [0728] SSL error: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND



Siehe auch

Über Authentifizierung und AutorisierungErsetzen des HTTPS-Zertifikats und des privaten Schlüssels des REST-Servers - Deaktivierung unsicherer Transportmodi

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.
Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.