5 1 0: Konfiguration der SSL-gesicherten Kommunikation für das SEP sesam Sicherungsnetzwerk

Willkommen in der aktuellsten Version der SEP sesam Dokumentation 5.1.0 Apollon. Frühere Versionen der Dokumentation finden Sie hier: Documentation Archiv.

Übersicht

Weitere Quellen

Über Authentifizierung und Autorisierung Ersetzen des HTTPS-Zertifikats und des privaten Schlüssels des REST-Servers Deaktivierung unsicherer Transportmodi

---

Unter SEP sesam YouTube Channel finden Sie aktuelle Videos und Webinare.

Unter FAQ finden Sie Antworten auf die häufigsten Fragen.

Im Problemfall nutzen Sie den Troubleshooting Guide.

Falls Sie eine ältere SEP sesam Version verwenden, schauen Sie bitte ins Dokumentationsarchiv.

SEP sesam verwendet das SSL (Secure Sockets Layer) Protokoll, um Identitäten zu authentifizieren, Daten zu verschlüsseln und sicher zu übertragen. SSL benötigt Zertifikate, um Clients zu authentifizieren und einen sicheren und vertrauenswürdigen Kommunikationskanal zwischen SBC (SEP sesam Backup Client) und STPD (sesam Transfer Protocol Server) aufzubauen, um so den unbefugten Zugriff von Clients auf STPD zu verhindern. Die SEP sesam Sicherungsumgebung wird mit selbstsignierten Zertifikaten, basierend auf OpenSSL, geschützt. SEP sesam stellt standardmäßig keine Zertifikate zur Verfügung. Sie müssen von einem Administrator erstellt und auf Clients und RDSs im Sicherungsnetzwerk kopiert werden.

1. Erstellen einer selbstsignierten Root-Zertifizierungsstelle (CA - Certificate Authority) auf dem SEP sesam Server
2. Erstellen von Server- und Client-Zertifikaten auf dem SEP sesam Server und Kopieren dieser auf Server und Clients
3. Erzeugen und Kopieren des Serverzertifikats für jeden RDS
4. Bearbeiten der Konfigurationsdatei auf jedem Client und Server oder RDS
5. Falls ein Client-Zertifikat nicht mehr vertrauenswürdig ist, Widerrufen eines Zertifikats.
6. Aufrufen einer Funktion auf dem SEP sesam Server, um eine Autorisierung zu erhalten.

Verzeichnisstruktur für die SSL-Zertifikate

Die folgende Verzeichnisstruktur wird für die Speicherung der SSL-Zertifikate und der zugehörigen Parameter verwendet:

Schritte

Erstellen einer selbstsignierten Root-Zertifizierungsstelle (CA - Certificate Authority) auf dem SEP sesam Server

1. Entfernen Sie auf dem SEP sesam Server alle alten selbst generierten SSL-Schlüssel aus:

    /var/opt/sesam/var/ini/ssl

2. Erstellen Sie dann die Verzeichnisse /ca und /x.509, um Ihre Schlüssel und Zertifikate zu speichern:

    /var/opt/sesam/var/ini/ca
    /var/opt/sesam/var/ini/x.509

3. Um das Root-Zertifikat zu erstellen, führen Sie das sm_ssl_cert ca Kommandozeilenprogramm wie gezeigt aus:

    /opt/sesam/bin/sms/sm_ssl_cert ca

Im Ordner /var/opt/sesam/var/ini/ca erstellt der Prozess zwei Dateien:

• Ein Hauptschlüssel, auch bekannt als rootCA.key: Halten Sie diesen Schlüssel geheim, da er für die Erstellung neuer Server- und Client-Zertifikate benötigt wird und die Vertrauensbasis für alle Ihre Zertifikate darstellt.

	Anmerkung
	Nach der Erzeugung der Server- und Client-Schlüssel sollten Sie den rootCA.key vom Server entfernen und an einem sicheren Ort aufbewahren.

• Ein Root-SSL-Zertifikat rootCA.pem: Es wird verwendet, um bestehende Server- und Client-Zertifikate zu überprüfen. Achten Sie darauf, dass die Root-CA ein spätes Verfallsdatum hat. Sobald es abgelaufen ist, werden alle von diesem Zertifikat signierten Zertifikate ungültig. Dieses Zertifikat muss auf allen Clients vorhanden sein, die sich mit Servern verbinden, die mit dem CA-Zertifikat signiert sind.

Sobald Sie das CA-Zertifikat und den Schlüssel erstellt haben, können Sie Zertifikate erstellen und signieren.

Erstellen von Server- und Client-Zertifikaten auf dem SEP sesam Server

1. Zuerst müssen Sie das Serverzertifikat auf dem SEP sesam Server erstellen:

/opt/sesam/bin/sms/sm_ssl_cert server --common-name=''<hostname>''

wobei <Hostname> mit dem Namen übereinstimmen muss, der in den Schnittstelleneinstellungen in der GUI spezifiziert ist (Auswahl -> Komponenten -> Topologie -> Clients, <Servername> -> Feld Schnittstellen).

Sie können auch die IP-Adresse für <Hostname> verwenden oder ein * (Sternchen) im Hostnamen einsetzen, z. B. *.serverdomain.com oder 192.168.1.*. Mehrere Server- oder Domänennamen müssen durch ein Komma getrennt werden, z. B.:

/opt/sesam/bin/sms/sm_ssl_cert server --common-name=myserver,myserver.domain.com

Danach gibt es zwei neue Dateien im Ordner /var/opt/sesam/var/ini/ssl:

server.pem 
server.key

2. Kopieren Sie die Dateien für jeden Server wie folgt:
• Kopieren Sie rootCA.pem nach /var/opt/sesam/var/ini/ca
• Kopieren Sie client.pem nach /var/opt/sesam/var/ini/x.509
• Kopieren Sie client.key nach /var/opt/sesam/var/ini/x.509
3. Erstellen Sie dann das Client-Zertifikat auf dem SEP sesam Server:

 /opt/sesam/bin/sms/sm_ssl_cert client 

Optional können Sie den Schlüssel client.pem/client mit einem eindeutigen Betreff-Feld erstellen:

/opt/sesam/bin/sms/sm_ssl_cert client --oid={options}

   {options}:      kommagetrennte Liste von
   C:{country_name}             - Ländername
  CN:{common_name}              - Gemeinsamer Name
  DQ:{dn_qualifier}             - Unterscheidungsmerkmal für den Namen
  GN:{given_name}               - Rufname
  GQ:{generation_qualifier}     - Generationskennzeichen
   I:{initials}                 - Initialen einiger oder aller Namen einer Person, aber nicht der Nachname(n)
   L:{locality_name}            - Ortsname
   N:{name}                     - Name
   O:{organization_name}:       - Name der Organisation
  OU:{organizational_unit_name} - Name der Organisationseinheit
   P:{pseudonym}                - Pseudonym
  PC:{postalcode}               - Postleitzahl
   S:{surname}                  - Nachname
   T:{title}                    - Titel

Anschließend befinden sich zwei neue Dateien in dem Ordner /var/opt/sesam/var/ini/x.509:

client.pem 
client.key 

4. Kopieren Sie für jeden Client die Dateien wie folgt auf den Client:
• Kopieren Sie rootCA.pem nach /var/opt/sesam/var/ini/ca
• Kopieren Sie client.pem nach /var/opt/sesam/var/ini/x.509
• Kopieren Sie client.key nach /var/opt/sesam/var/ini/x.509

Erzeugen und Kopieren von Serverzertifikaten für jeden RDS

Wenn Sie möchten, dass Ihre RDSs ein eigenes Serverzertifikat haben, müssen Sie für jeden RDS ein Serverzertifikat erzeugen. In diesem Fall haben der SEP sesam Server und jeder RDS sein eigenes Serverzertifikat, das mit der gleichen selbstsignierten Root CA signiert ist. Diese Konfiguration erlaubt es, einen Client entweder auf den SEP sesam Server oder einen beliebigen RDS zu sichern.

1. Um das Serverzertifikat für jeden RDS zu generieren, führen Sie den folgenden Befehl aus:

/opt/sesam/bin/sms/sm_ssl_cert server --common-name=''<RDS_hostname>'' --path=''<RDS_server_certificate_path>''

2. Kopieren Sie die generierten Dateien server.pem und server.key aus <RDS_server_certificate_path> auf jeden RDS in den Ordner /var/opt/sesam/var/ini/ssl.
3. Kopieren Sie rootCA.pem auf jeden RDS in den Ordner /var/opt/sesam/var/ini/ca.

	Anmerkung
	Die gesamte Erstellung wird nur auf dem Server durchgeführt.

Bearbeiten Sie die Konfigurationsdatei auf jedem Client und Server oder RDS

Auf SEP sesam Client

1. Suchen Sie die Datei /var/opt/sesam/var/ini/sm.ini auf dem SEP sesam Client. Öffnen Sie die sm.ini Datei mit einem Texteditor und setzen Sie die folgenden Einstellungen:

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1   #Für die client-seitige Überprüfung
SBC_SSL_SERVER_VERIFY=1 #Für die serverseitige Überprüfung

2. Wenn Sie die Einstellungen geändert haben, speichern Sie Ihre Änderungen und starten Sie den Client neu, damit die Änderungen wirksam werden.

Auf SEP sesam Server oder RDS

1. Suchen Sie die Datei /var/opt/sesam/var/ini/stpd.ini auf dem SEP sesam Server. Öffnen Sie die stpd.ini Datei mit einem Texteditor und setzen Sie die folgenden Einstellungen:

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2 

Mögliche Werte:

   0: Nicht validieren
   1: Validieren, aber Warnung anzeigen 
   2: Validieren und Fehler anzeigen

2. Wenn Sie die Einstellungen geändert haben, speichern Sie Ihre Änderungen und starten Sie den Server neu, damit die Änderungen wirksam werden.

Client-Zertifikat widerrufen

Wenn einem Client-Zertifikat nicht mehr vertraut werden kann (z.B. weil es bekannt wurde), ist es wichtig, das Client-Zertifikat zu annullieren. In diesem Fall benötigt der Server eine Möglichkeit, das ungültige Zertifikat zu identifizieren und Clients die Verbindung mit diesem Zertifikat zu verbieten. Eine Möglichkeit ist die Verwendung von Certificate Revocation Lists (CRLs). CRLs sind eine Liste aller ungültigen Zertifikate.

Um das Client-Zertifikat (client.pem) in die CRL aufzunehmen, gehen Sie wie folgt vor:

1. Erstellen Sie die Verzeichniss:

/var/opt/sesam/var/ini/revoked

2. Erstellen Sie Certificate Revocation Lists (CRLs) auf dem Server:

/opt/sesam/bin/sms/sm_ssl_cert revoke --certificate="/var/opt/sesam/var/ini/x.509/client.pem"

	Anmerkung
	Die Erstellung von Certificate Revocation Lists funktioniert nur unter Linux. Vermutlich ist das Problem unter Windows eine alte (wahrscheinlich selbst erstellte/konfigurierte) Version von GnuTLS lib. Um eine CRL-Datei unter Windows zu erstellen, müssen Sie zunächst GnuTLS von ftp gnutls herunterladen.

Es werden zwei Dateien erstellt in /var/opt/sesam/var/ini/revoked

 crt
 certs.pem

3. Im Falle einer RDS-Konfiguration kopieren Sie bitte auch auf den RDS-PC:

crt ==> /var/opt/sesam/var/ini/revoked

Beispiel

Wenn ein Client mit widerrufenem Zertifikat versucht, eine Verbindung zu einem Server herzustellen:

2016-08-30 18:05:01: sbc-3536: Info:     # SEP XBSA, VERSION: 4.4R3 Build: e77d80b, Released: Aug 30 2016 #
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-30 18:05:01: sbc-3500: Info:     Verify SSL Server Cert: 1
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: URL: https://SEP-RDSWin10:11443
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: SSL integrity check enabled
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: SSL client authentication is enabled
2016-08-30 18:05:01: sbc-3502: Info:     XBSA: BSACreateObject: Error:  GNUTLS_CERT_REVOKED

20160830 18:05:01.709 [3428] ConnectionHandlerCb:: new connection
20160830 18:05:01.709 [3428] ConnectionHandlerCb:: Call connection callback
20160830 18:05:01.710 [3428] SSLConnectionCb:: Starting SSL connection
20160830 18:05:01.710 [3428] SSL mode. Checking for client certificate
20160830 18:05:01.731 [3428] SSL error: Error:  GNUTLS_CERT_REVOKED

Zur gleichen Zeit versucht ein anderer Client mit einer anderen client.pem/client.key eine Verbindung zu einem Server herzustellen:

2016-08-30 18:06:33: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: e77d80b, Released: Aug 30 2016 #
2016-08-30 18:06:33: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-30 18:06:33: sbc-3502: Info:    XBSA:  URL: https://SEP-RDSWin10:11443
2016-08-30 18:06:33: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-30 18:06:33: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-30 18:06:33: sbc-3007: Info:    Operation successful.

Nützliche Befehle

curl -X "PUT" -F file=@c:\windows\system32\drivers\etc\hosts -H "XBSA-USER:SESAM_SECURE_AUTHENTICATION" -H  "XBSA-PASS:" \
-H "XBSA-TYPE:I" -H "XBSA-CWD:." -H "XBSA-STOR:TestBak.bak" -H "XBSA-QUIT" https://aoseredchuk-PC:11443 \
--key "c:\Program Files\SEPsesam\var\ini\x.509\client.key" --cacert "c:\Program Files\SEPsesam\var\ini\ca\rootCA.pem" \
--cert "c:\Program Files\SEPsesam\var\ini\x.509\client.pem" --ipv4 --tlsv1.0 --verbose

openssl s_client -connect aoseredchuk-PC:11443 -CAfile "c:\Program Files\SEPsesam\var\ini\ca\rootCA.pem" \
-cert "c:\Program Files\SEPsesam\var\ini\x.509\client.pem" -key "c:\Program Files\SEPsesam\var\ini\x.509\client.key"

openssl x509 -in "c:\Program Files\SEPsesam\var\ini\ca\rootCA.pem" -noout -text

openssl x509 -in "c:\Program Files\SEPsesam\var\ini\x.509\client.pem" -noout -text

Prüfung des Zertifikats

Test mit richtige Zertifikaten

Authentifizierung von Clients: [erfolgreich]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=0

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:00:45: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:00:45: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:00:45: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:00:45: sbc-3502: Info:    XBSA:  Warning: SSL integrity check disabled
2016-08-29 15:00:45: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-29 15:00:46: sbc-3007: Info:    Operation successful.

Authentifizierung vom Server: [erfolgreich]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=0
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:34:50: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:34:50: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:34:50: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:34:50: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:34:50: sbc-3502: Info:    XBSA:  SSL client authentication is disabled
...
2016-08-29 15:34:52: sbc-3007: Info:    Operation successful.

Doppelte Authentifizierung: [erfolgreich]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:01:13: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:01:13: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:01:13: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:01:13: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:01:13: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-29 15:01:13: sbc-3007: Info:    Operation successful.

Test mit falschen client.key/pem Zertifikaten

Authentifizierung von Clients: [fehlgeschlagen]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=0

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:01:59: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  Warning: SSL integrity check disabled
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
2016-08-29 15:01:59: sbc-3502: Info:    XBSA:  BSACreateObject: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:01:59: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:01:59: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:01:59: sbc-3005: Info:    Closing saveset.
2016-08-29 15:01:59: sbc-3310: Info:    Checksum (adler32): 1. (test)
2016-08-29 15:01:59: sbc-3052: Info:    Items processed correctly: [0]. Not processed or incorrectly processed items: [0]. (test)
2016-08-29 15:01:59: sbc-1156: Error:   Operation failed!

20160829 15:01:59.878 [16340] ConnectionHandlerCb:: new connection
20160829 15:01:59.878 [16340] ConnectionHandlerCb:: Call connection callback
20160829 15:01:59.879 [16340] SSLConnectionCb:: Starting SSL connection
20160829 15:01:59.879 [16340] SSL mode. Checking for client certificate
20160829 15:01:59.880 [16340] SSL error: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND

Authentifizierung vom Server: [erfolgreich]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=0
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:33:05: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:33:05: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:33:05: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:33:05: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:33:05: sbc-3502: Info:    XBSA:  SSL client authentication is disabled
...
2016-08-29 15:33:07: sbc-3007: Info:    Operation successful.

Doppelte Authentifizierung: [fehlgeschlagen]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:01:46: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:01:46: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:01:46: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:01:46: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:01:46: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
2016-08-29 15:01:47: sbc-3502: Info:    XBSA:  BSACreateObject: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:01:47: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:01:47: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:01:47: sbc-3005: Info:    Closing saveset.
2016-08-29 15:01:47: sbc-3310: Info:    Checksum (adler32): 1. (test)
2016-08-29 15:01:47: sbc-3052: Info:    Items processed correctly: [0]. Not processed or incorrectly processed items: [0]. (test)
2016-08-29 15:01:47: sbc-1156: Error:   Operation failed!

20160829 15:01:46.987 [18740] ConnectionHandlerCb:: new connection
20160829 15:01:46.987 [18740] ConnectionHandlerCb:: Call connection callback
20160829 15:01:46.987 [18740] SSLConnectionCb:: Starting SSL connection
20160829 15:01:46.988 [18740] SSL mode. Checking for client certificate
20160829 15:01:46.989 [18740] SSL error: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND

Test mit falschen rootCA.pem Zertifikaten

Authentifizierung von Clients: [erfolgreich]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=0

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:28:21: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:28:21: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:28:21: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:28:21: sbc-3502: Info:    XBSA:  Warning: SSL integrity check disabled
2016-08-29 15:28:21: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-29 15:28:26: sbc-3007: Info:    Operation successful.

Authentifizierung vom Server: [fehlgeschlagen]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=0
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:48:54: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:48:54: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:48:54: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:48:54: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:48:54: sbc-3502: Info:    XBSA:  SSL client authentication is disabled
2016-08-29 15:48:57: sbc-3502: Info:    XBSA:  BSACreateObject: Client SSL certificate is missing or invalid
2016-08-29 15:48:57: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:48:57: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Client SSL certificate is missing or invalid

20160829 15:48:54.800 [2808] ConnectionHandlerCb:: new connection
20160829 15:48:54.800 [2808] ConnectionHandlerCb:: Call connection callback
20160829 15:48:54.801 [2808] SSLConnectionCb:: Starting SSL connection
20160829 15:48:56.218 [2808] SSL mode. Checking for client certificate
20160829 15:48:57.028 [2808] SSL error: Client SSL certificate is missing or invalid

Doppelte Authentifizierung: [erfolgreich]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:49:56: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:49:56: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:49:56: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:49:56: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:49:56: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
...
2016-08-29 15:50:03: sbc-3007: Info:    Operation successful.

Test mit falschen rootCA.pem und client.key/pem Zertifikaten

Authentifizierung von Clients: [fehlgeschlagen]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=0

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:44:50: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:44:50: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:44:50: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:44:50: sbc-3502: Info:    XBSA:  Warning: SSL integrity check disabled
2016-08-29 15:44:50: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
2016-08-29 15:44:53: sbc-3502: Info:    XBSA:  BSACreateObject: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND

20160829 15:44:50.877 [18796] ConnectionHandlerCb:: new connection
20160829 15:44:50.878 [18796] ConnectionHandlerCb:: Call connection callback
20160829 15:44:50.878 [18796] SSLConnectionCb:: Starting SSL connection
20160829 15:44:52.451 [18796] SSL mode. Checking for client certificate
20160829 15:44:53.158 [18796] SSL error: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND

Authentifizierung vom Server: [fehlgeschlagen]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=0
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:42:36: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:42:36: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:42:36: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:42:36: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:42:36: sbc-3502: Info:    XBSA:  SSL client authentication is disabled
2016-08-29 15:42:39: sbc-3502: Info:    XBSA:  BSACreateObject: Client SSL certificate is missing or invalid
2016-08-29 15:42:39: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:42:39: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Client SSL certificate is missing or invalid

20160829 15:42:37.051 [11924] ConnectionHandlerCb:: new connection
20160829 15:42:37.052 [11924] ConnectionHandlerCb:: Call connection callback
20160829 15:42:37.052 [11924] SSLConnectionCb:: Starting SSL connection
20160829 15:42:38.363 [11924] SSL mode. Checking for client certificate
20160829 15:42:39.072 [11924] SSL error: Client SSL certificate is missing or invalid

Doppelte Authentifizierung: [fehlgeschlagen]

[SBC_SSL]
SBC_CLIENT_SSL_AUTH=1
SBC_SSL_SERVER_VERIFY=1

[STPD_Server]
STPD_HTTPS_USE_CLIENT_CERT=2

2016-08-29 15:41:39: sbc-3536: Info:    # SEP XBSA, VERSION: 4.4R3 Build: 4a628b6, Released: Aug 23 2016 #
2016-08-29 15:41:39: sbc-3502: Info:    XBSA:  XBSA BSA_API_VERSION (Issue.Version.Level): 2.1.1
2016-08-29 15:41:39: sbc-3502: Info:    XBSA:  URL: https://aoseredchuk-PC:11443
2016-08-29 15:41:39: sbc-3502: Info:    XBSA:  SSL integrity check enabled
2016-08-29 15:41:39: sbc-3502: Info:    XBSA:  SSL client authentication is enabled
2016-08-29 15:41:42: sbc-3502: Info:    XBSA:  BSACreateObject: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND
2016-08-29 15:41:42: sbc-3500: Info:    XBSA returned: Cannot create object with given descriptor.
2016-08-29 15:41:42: sbc-1009: Error:   XBSA Call BSACreateObject failed with message: Access to the requested object is not possible. Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND

20160829 15:41:39.831 [0728] ConnectionHandlerCb:: new connection
20160829 15:41:39.831 [0728] ConnectionHandlerCb:: Call connection callback
20160829 15:41:39.832 [0728] SSLConnectionCb:: Starting SSL connection
20160829 15:41:41.218 [0728] SSL mode. Checking for client certificate
20160829 15:41:41.927 [0728] SSL error: Error:  GNUTLS_CERT_INVALID GNUTLS_CERT_SIGNER_NOT_FOUND

Siehe auch

Über Authentifizierung und Autorisierung – Ersetzen des HTTPS-Zertifikats und des privaten Schlüssels des REST-Servers - Deaktivierung unsicherer Transportmodi