From takebayashi.shinya @ oss.ntt.co.jp Wed Jan 28 11:30:13 2009 From: takebayashi.shinya @ oss.ntt.co.jp (Shinya TAKEBAYASHI) Date: Wed, 28 Jan 2009 11:30:13 +0900 Subject: [Ultramonkey-l7-develop 293] =?iso-2022-jp?b?c3NscHJveHkgcnBtIBskQklUNnE5ZyRLJEQkJCRGGyhC?= Message-ID: 竹林です. 昨日リリースした sslproxy の rpm パッケージに,下記の不具合がありました. # ソースにバグがあったわけではありません ○ sslproxy が起動しない /etc/logrotate.d/sslproxyadm がファイルリストリストから漏れているために インストールされず,上記ファイルに依存する sslproxyadm が実行できない 修正したものを本日午後に差し換えますので,今のところはダウンロードは 控えてください. ご迷惑お掛けしますが,よろしくお願い致します. ----------------------------------------------------------- Shinya TAKEBAYASHI E-mail: takebayashi.shinya @ oss.ntt.co.jp GPG ID: 395EFCE8 GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8 ----------------------------------------------------------- From takebayashi.shinya @ oss.ntt.co.jp Wed Jan 28 12:15:58 2009 From: takebayashi.shinya @ oss.ntt.co.jp (Shinya TAKEBAYASHI) Date: Wed, 28 Jan 2009 12:15:58 +0900 Subject: [Ultramonkey-l7-develop 294] Re: =?iso-2022-jp?b?c3NscHJveHkgcnBtIBskQklUNnE5ZyRLJEQkJCRGGyhC?= In-Reply-To: References: Message-ID: 竹林です. バイナリパッケージを更新しました. お騒がせしました. Shinya TAKEBAYASHI wrote in message < JI200901281130139.1133831062 @ oss.ntt.co.jp> *** Subject: [Ultramonkey-l7-develop 293] sslproxy rpm 不具合について *** Date: 2009/01/28 11:30:13 > 竹林です. > > 昨日リリースした sslproxy の rpm パッケージに,下記の不具合がありました. > # ソースにバグがあったわけではありません > > > ○ sslproxy が起動しない > > /etc/logrotate.d/sslproxyadm がファイルリストリストから漏れているため に > インストールされず,上記ファイルに依存する sslproxyadm が実行できない > > > 修正したものを本日午後に差し換えますので,今のところはダウンロードは > 控えてください. > > ご迷惑お掛けしますが,よろしくお願い致します. > ----------------------------------------------------------- Shinya TAKEBAYASHI E-mail: takebayashi.shinya @ oss.ntt.co.jp GPG ID: 395EFCE8 GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8 ----------------------------------------------------------- From takebayashi.shinya @ oss.ntt.co.jp Wed Jan 28 14:02:22 2009 From: takebayashi.shinya @ oss.ntt.co.jp (Shinya TAKEBAYASHI) Date: Wed, 28 Jan 2009 14:02:22 +0900 Subject: [Ultramonkey-l7-develop 295] =?iso-2022-jp?b?c3NscHJveHkgGyRCJCxGMCQtJF4kOyRzGyhC?= Message-ID: 竹林です. sslproxy をインストールし,設定して起動,ブラウザでアクセスすると 証明書の確認が何度も表示され,コンテンツのダウンロードができません. 発現環境は, OS: Redhat Enterprise Linux 5.2 / 5.3 (他のバージョンは未確認,x86 と x86_64 の両方で発生) sslproxy: 1.0.1-0 設定ファイル: sslproxy.target_1.cf の recv_endpoint と target_endpoint を 手前の環境に合わせて変更 (target が UM-L7 でも Apache でもダメ) Firefox 3.0.5,InternetExplorer 7 の両方で試しましたが,どちらも 証明書を恒久的に承認するようにしても何度も証明書の確認要求が表示され, コンテンツが表示できません. wget の場合は, % wget https://192.168.0.202/ --13:54:25-- https://192.168.0.202/ => `index.html' Connecting to 192.168.0.202:443... connected. OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure Unable to establish SSL connection. と表示され,やはりコンテンツのダウンロードができません. なお,sslproxy のログには,下記の通りのログが記録されます. SLP40050010 Handshaking NG : Broken pipe. taiyaki.localdomain 0x43072940 sslproxysession.cpp:495 心当たりのあるかた,いらっしゃいますか? ----------------------------------------------------------- Shinya TAKEBAYASHI E-mail: takebayashi.shinya @ oss.ntt.co.jp GPG ID: 395EFCE8 GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8 ----------------------------------------------------------- From tanuma.kouhei @ nttcom.co.jp Wed Jan 28 15:01:30 2009 From: tanuma.kouhei @ nttcom.co.jp (Kouhei TANUMA) Date: Wed, 28 Jan 2009 15:01:30 +0900 Subject: [Ultramonkey-l7-develop 296] Re: =?iso-2022-jp?b?c3NscHJveHkgGyRCJCxGMCQtJF4kOyRzGyhC?= In-Reply-To: References: Message-ID: <20090128145230.C802.CDFA0AA6@nttcom.co.jp> 竹林さん 田沼です。 SSL についてよくわからないことが多いので的外れだったら 申し訳ないのですが、表示される証明書の確認はクライアントの証明書の 確認ではないでしょうか? sslproxy はデフォルトでクライアントの証明書が必要な設定になっている ようですので、クライアントの証明書が必要ない場合は、個別設定ファイルの verify_options を SSL_VERYFY_NONE だけにすれば接続できると思います。 verify_options = "SSL_VERIFY_NONE" verify_options = "SSL_VERIFY_PEER" verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" ↓ verify_options = "SSL_VERIFY_NONE" #verify_options = "SSL_VERIFY_PEER" #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" On Wed, 28 Jan 2009 14:02:22 +0900 Shinya TAKEBAYASHI wrote: > 竹林です. > > sslproxy をインストールし,設定して起動,ブラウザでアクセスすると > 証明書の確認が何度も表示され,コンテンツのダウンロードができません. > > > 発現環境は, > > OS: Redhat Enterprise Linux 5.2 / 5.3 > (他のバージョンは未確認,x86 と x86_64 の両方で発生) > > sslproxy: 1.0.1-0 > > 設定ファイル: sslproxy.target_1.cf の recv_endpoint と target_endpoint を > 手前の環境に合わせて変更 > (target が UM-L7 でも Apache でもダメ) > > > Firefox 3.0.5,InternetExplorer 7 の両方で試しましたが,どちらも > 証明書を恒久的に承認するようにしても何度も証明書の確認要求が表示され, > コンテンツが表示できません. > wget の場合は, > > % wget https://192.168.0.202/ > --13:54:25-- https://192.168.0.202/ > => `index.html' > Connecting to 192.168.0.202:443... connected. > OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake > failure > Unable to establish SSL connection. > > と表示され,やはりコンテンツのダウンロードができません. > > > なお,sslproxy のログには,下記の通りのログが記録されます. > > SLP40050010 Handshaking NG : Broken pipe. taiyaki.localdomain 0x43072940 > sslproxysession.cpp:495 > > 心当たりのあるかた,いらっしゃいますか? > > ----------------------------------------------------------- > Shinya TAKEBAYASHI > > E-mail: takebayashi.shinya @ oss.ntt.co.jp > GPG ID: 395EFCE8 > GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8 > ----------------------------------------------------------- > > _______________________________________________ > Ultramonkey-l7-users mailing list > Ultramonkey-l7-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-users > -- 田沼 航平 NTTコムウェア株式会社 基盤技術本部 OSS推進部 TEL:043-211-2266(#383-8017) From takebayashi.shinya @ oss.ntt.co.jp Wed Jan 28 15:10:01 2009 From: takebayashi.shinya @ oss.ntt.co.jp (Shinya TAKEBAYASHI) Date: Wed, 28 Jan 2009 15:10:01 +0900 Subject: [Ultramonkey-l7-develop 297] Re: =?iso-2022-jp?b?c3NscHJveHkgGyRCJCxGMCQtJF4kOyRzGyhC?= In-Reply-To: <20090128145230.C802.CDFA0AA6@nttcom.co.jp> References: <20090128145230.C802.CDFA0AA6@nttcom.co.jp> Message-ID: 竹林です. 情報ありがとうございます. 助かります. > sslproxy はデフォルトでクライアントの証明書が必要な設定になっている > ようですので、クライアントの証明書が必要ない場合は、個別設定ファイルの > verify_options を SSL_VERYFY_NONE だけにすれば接続できると思います。 > > verify_options = "SSL_VERIFY_NONE" > verify_options = "SSL_VERIFY_PEER" > verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > > ↓ > > verify_options = "SSL_VERIFY_NONE" > #verify_options = "SSL_VERIFY_PEER" > #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" これでできました. ちなみに sourceforge 上の管理マニュアルにあるサンプルでは NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは すべて有効になっています. どちらかに合わせる必要があると考えますが,検討して頂けますか. 竹林個人としては,VERIFY_NONE のみが生かされた状態で サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. # とりあえずインストールしただけで立ち上げられる,という意味で ----------------------------------------------------------- Shinya TAKEBAYASHI E-mail: takebayashi.shinya @ oss.ntt.co.jp GPG ID: 395EFCE8 GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8 ----------------------------------------------------------- From kondo.hideaki @ oss.ntt.co.jp Wed Jan 28 16:05:03 2009 From: kondo.hideaki @ oss.ntt.co.jp (Hideaki Kondo) Date: Wed, 28 Jan 2009 16:05:03 +0900 Subject: [Ultramonkey-l7-develop 298] Re: =?iso-2022-jp?b?W1VsdHJhbW9ua2V5LWw3LXVzZXJzIDE2NF0gUmU6ICBS?= =?iso-2022-jp?b?ZTogc3NscHJveHkgGyRCJCxGMCQtJF4kOyRzGyhC?= In-Reply-To: References: <20090128145230.C802.CDFA0AA6@nttcom.co.jp> Message-ID: <20090128154759.1954.KONDO.HIDEAKI@oss.ntt.co.jp> 竹林さま、各位 近藤です。 お疲れ様です。 > ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > すべて有効になっています. > > どちらかに合わせる必要があると考えますが,検討して頂けますか. 現在のところ、インストールマニュアルの「2.1 sslproxyの インストール」には、以下の通り説明がなされている状況です。 ----- #verify_options = "SSL_VERIFY_PEER" #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" をコメントアウトして、SSL_VERIFY_NONEのみ有効にする。 (動作確認のため、クライアント証明書の検証を省略する設定) ----- 従いまして、提供情報として食い違っているとまではいかない 状況ですが、rpmパッケージも含めて考えますと、上記を確認し 忘れて、今回と同様な指摘を受ける可能性がありますね。 > 竹林個人としては,VERIFY_NONE のみが生かされた状態で > サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. > # とりあえずインストールしただけで立ち上げられる,という意味で 本件について今回行き違い等があったこから、(上記インストール マニュアルの記載は、ユーザに対して補足情報になるのでそのまま 残しておき、)次回リリース時には、パッケージに含める設定サンプルは、 上記コメントアウトを反映した内容とすることで、近藤も賛成です。 以上よろしくお願い致します。 On Wed, 28 Jan 2009 15:10:01 +0900 Shinya TAKEBAYASHI wrote: > 竹林です. > > > 情報ありがとうございます. > 助かります. > > > sslproxy はデフォルトでクライアントの証明書が必要な設定になっている > > ようですので、クライアントの証明書が必要ない場合は、個別設定ファイルの > > verify_options を SSL_VERYFY_NONE だけにすれば接続できると思います。 > > > > verify_options = "SSL_VERIFY_NONE" > > verify_options = "SSL_VERIFY_PEER" > > verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > > > > ↓ > > > > verify_options = "SSL_VERIFY_NONE" > > #verify_options = "SSL_VERIFY_PEER" > > #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > > これでできました. > > ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > すべて有効になっています. > > どちらかに合わせる必要があると考えますが,検討して頂けますか. > > 竹林個人としては,VERIFY_NONE のみが生かされた状態で > サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. > # とりあえずインストールしただけで立ち上げられる,という意味で > > ----------------------------------------------------------- > Shinya TAKEBAYASHI > > E-mail: takebayashi.shinya @ oss.ntt.co.jp > GPG ID: 395EFCE8 > GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8 > ----------------------------------------------------------- -- Hideaki Kondo(近藤 秀明) From morisita.tooru @ nttcom.co.jp Wed Jan 28 17:58:04 2009 From: morisita.tooru @ nttcom.co.jp (=?ISO-2022-JP?B?GyRCPzkyPEUwGyhC?=) Date: Wed, 28 Jan 2009 17:58:04 +0900 Subject: [Ultramonkey-l7-develop 299] Re: =?iso-2022-jp?b?W1VsdHJhbW9ua2V5LWw3LXVzZXJzIDE2NV0gUmU6ICBS?= =?iso-2022-jp?b?ZTogc3NscHJveHkgGyRCJCxGMCQtJF4kOyRzGyhC?= In-Reply-To: <20090128154759.1954.KONDO.HIDEAKI@oss.ntt.co.jp> References: <20090128145230.C802.CDFA0AA6@nttcom.co.jp> <20090128154759.1954.KONDO.HIDEAKI@oss.ntt.co.jp> Message-ID: <49801E1C.4030402@nttcom.co.jp> 竹林様 関係各位 森下です。お疲れ様です。 サンプル作成時は、デフォルトからクライアント証明書の 検証をしないのはどうか、と思い、サンプルでは有効、 立ち上げ確認時は、コメントアウトという形にして おりました。 竹林様、近藤様の指摘どおり、 「インストールしてほぼそのまま上がる」方が よさそうですね。SSL_VERIFY_NONEのみとするのに 賛成いたします。 ちなみに、 >> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは >> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは >> すべて有効になっています. というのは、verify_options以外も全てでしょうか? 接続できないということはないと思いますが、 ssl_optionも、全て有効化はしないほうがよいように 思います。 以上、よろしくお願いいたします。 Hideaki Kondo さんは書きました: > 竹林さま、各位 > > 近藤です。 > お疲れ様です。 > >> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは >> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは >> すべて有効になっています. >> >> どちらかに合わせる必要があると考えますが,検討して頂けますか. > > 現在のところ、インストールマニュアルの「2.1 sslproxyの > インストール」には、以下の通り説明がなされている状況です。 > > ----- > #verify_options = "SSL_VERIFY_PEER" > #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > をコメントアウトして、SSL_VERIFY_NONEのみ有効にする。 > (動作確認のため、クライアント証明書の検証を省略する設定) > ----- > > 従いまして、提供情報として食い違っているとまではいかない > 状況ですが、rpmパッケージも含めて考えますと、上記を確認し > 忘れて、今回と同様な指摘を受ける可能性がありますね。 > > >> 竹林個人としては,VERIFY_NONE のみが生かされた状態で >> サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. >> # とりあえずインストールしただけで立ち上げられる,という意味で > > 本件について今回行き違い等があったこから、(上記インストール > マニュアルの記載は、ユーザに対して補足情報になるのでそのまま > 残しておき、)次回リリース時には、パッケージに含める設定サンプルは、 > 上記コメントアウトを反映した内容とすることで、近藤も賛成です。 > > 以上よろしくお願い致します。 > > > On Wed, 28 Jan 2009 15:10:01 +0900 > Shinya TAKEBAYASHI wrote: > >> 竹林です. >> >> >> 情報ありがとうございます. >> 助かります. >> >>> sslproxy はデフォルトでクライアントの証明書が必要な設定になっている >>> ようですので、クライアントの証明書が必要ない場合は、個別設定ファイルの >>> verify_options を SSL_VERYFY_NONE だけにすれば接続できると思います。 >>> >>> verify_options = "SSL_VERIFY_NONE" >>> verify_options = "SSL_VERIFY_PEER" >>> verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" >>> >>> ↓ >>> >>> verify_options = "SSL_VERIFY_NONE" >>> #verify_options = "SSL_VERIFY_PEER" >>> #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" >> これでできました. >> >> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは >> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは >> すべて有効になっています. >> >> どちらかに合わせる必要があると考えますが,検討して頂けますか. >> >> 竹林個人としては,VERIFY_NONE のみが生かされた状態で >> サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. >> # とりあえずインストールしただけで立ち上げられる,という意味で >> >> ----------------------------------------------------------- >> Shinya TAKEBAYASHI >> >> E-mail: takebayashi.shinya @ oss.ntt.co.jp >> GPG ID: 395EFCE8 >> GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8 >> ----------------------------------------------------------- > > -- > Hideaki Kondo(近藤 秀明) > > _______________________________________________ > Ultramonkey-l7-users mailing list > Ultramonkey-l7-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-users > > >