Не удается заставить Кодзи работать на сервере Centos6

Я настраивал среду сборки коджи на сервере Centos6, как это предлагается в документации ( http://fedoraproject.org/wiki/Koji/ServerHowTo). Я мог правильно получить доступ к Koji Web, используя HTTP, но я сталкиваюсь с проблемой SSL-сертификата при переключении на HTTPS:

Ошибка браузера клиента, вызванная Mozilla FireFox:

SSL peer was unable to negotiate an acceptable set of security parameters. (Error code: ssl_error_handshake_failure_alert)
  • Включив двух пользователей с правами администратора, я получаю специфическую ошибку Коджи при запуске команды:

    су Кодзиман; коджи вызов getLoggedInUser

Ошибки под: kojiman:

Error: [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]
#

су коджиадмин; Коджи вызывают getLoggedInUser Ошибки в: коджиадмин

Error: [('SSL routines', 'SSL3_READ_BYTES', 'sslv3 alert bad certificate'), ('SSL routines', 'SSL3_WRITE_BYTES', 'ssl handshake failure')]

В то время как в журнале httpd ssl у меня есть следующее:

############################"

Ошибки SSL:

[Wed Feb 05 18:37:28 2014] [error] [client 46.21.193.155] Certificate Verification: Error (19): self signed certificate in certificate chain
[Wed Feb 05 18:44:06 2014] [warn] RSA server certificate CommonName (CN) `kojihub' does NOT match server name!?
[Wed Feb 05 18:44:06 2014] [warn] RSA server certificate CommonName (CN) `kojihub' does NOT match server name!?
  • Когда я тестирую сертификат, я получаю с openSSL:

    openssl s_client -connect localhost: 443 -tls1 -CAfile /etc/pki/koji/kojihub.pem

Я действительно получаю:

verify error:num=20:unable to get local issuer certificate
verify error:num=27:certificate not trusted
verify error:num=21:unable to verify the first certificate

verify return:1
139736479307592:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1256:SSL alert number 40
139736479307592:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
Verify return code: 21 (unable to verify the first certificate)

1 ответ

Сертификаты kojihub и kojiweb должны иметь свой CN, установленный на полное доменное имя каждого соответствующего сервера. Это было в документации:

Два из сертификатов (kojihub и kojiweb) используются в качестве сертификатов на стороне сервера, которые аутентифицируют сервер для клиента. По этой причине вы хотите, чтобы общее имя в обоих этих сертификатах представляло собой полное доменное имя веб-сервера, на котором они работают, чтобы клиенты не жаловались на общее имя и сервер не совпадал. Вы можете установить OU для этих двух сертификатов как kojihub и kojiweb для идентификации.

Другие вопросы по тегам