From kondo.hideaki @ oss.ntt.co.jp Thu Jan 29 14:19:29 2009 From: kondo.hideaki @ oss.ntt.co.jp (Hideaki Kondo) Date: Thu, 29 Jan 2009 14:19:29 +0900 Subject: [Ultramonkey-l7-develop 300] Re: =?iso-2022-jp?b?W1VsdHJhbW9ua2V5LWw3LXVzZXJzIDE2NV0gUmU6ICBS?= =?iso-2022-jp?b?ZTogc3NscHJveHkgGyRCJCxGMCQtJF4kOyRzGyhC?= In-Reply-To: <49801E1C.4030402@nttcom.co.jp> References: <20090128154759.1954.KONDO.HIDEAKI@oss.ntt.co.jp> <49801E1C.4030402@nttcom.co.jp> Message-ID: <20090129114417.1957.KONDO.HIDEAKI@oss.ntt.co.jp> 森下さま (Cc:関係各位) 近藤です。 お疲れ様です。 今回の件に関連して、個人的にこれまでクライアント証明書 要求なしの条件でsslproxy動作チェックしていたところがあり、 便乗ですみませんが、少し追加確認させて下さい。 [ 確認事項 ] ・sslproxy設定ファイル(sslproxy..cf)の  パラメータの中で、クライアント証明書要求有無に関連して  直接考慮すべきパラメータは、以下であると認識しておりますが、  "SSL_VERIFY_CLIENT_ONCE" について管理マニュアル上で  箇条書き説明が漏れておりました。 verify_options = "SSL_VERIFY_NONE" verify_options = "SSL_VERIFY_PEER" verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" verify_options = "SSL_VERIFY_CLIENT_ONCE"  "SSL_VERIFY_CLIENT_ONCE"パラメータについても、説明を追記  しておきたいですので、ML関係者間の情報共有の意味も含めて  ご教示いただけないでしょうか。  Google等で調べて大よそ理解できましたが、念のため、  主開発者である森下さんより補足いただけますと有り難いです。 以上、お手数をおかけしますが、よろしくお願い致します。 On Wed, 28 Jan 2009 17:58:04 +0900 森下徹 wrote: > 竹林様 > 関係各位 > > 森下です。お疲れ様です。 > > サンプル作成時は、デフォルトからクライアント証明書の > 検証をしないのはどうか、と思い、サンプルでは有効、 > 立ち上げ確認時は、コメントアウトという形にして > おりました。 > > 竹林様、近藤様の指摘どおり、 > 「インストールしてほぼそのまま上がる」方が > よさそうですね。SSL_VERIFY_NONEのみとするのに > 賛成いたします。 > > ちなみに、 > >> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > >> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > >> すべて有効になっています. > というのは、verify_options以外も全てでしょうか? > > 接続できないということはないと思いますが、 > ssl_optionも、全て有効化はしないほうがよいように > 思います。 > > 以上、よろしくお願いいたします。 > > Hideaki Kondo さんは書きました: > > 竹林さま、各位 > > > > 近藤です。 > > お疲れ様です。 > > > >> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > >> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > >> すべて有効になっています. > >> > >> どちらかに合わせる必要があると考えますが,検討して頂けますか. > > > > 現在のところ、インストールマニュアルの「2.1 sslproxyの > > インストール」には、以下の通り説明がなされている状況です。 > > > > ----- > > #verify_options = "SSL_VERIFY_PEER" > > #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > > をコメントアウトして、SSL_VERIFY_NONEのみ有効にする。 > > (動作確認のため、クライアント証明書の検証を省略する設定) > > ----- > > > > 従いまして、提供情報として食い違っているとまではいかない > > 状況ですが、rpmパッケージも含めて考えますと、上記を確認し > > 忘れて、今回と同様な指摘を受ける可能性がありますね。 > > > > > >> 竹林個人としては,VERIFY_NONE のみが生かされた状態で > >> サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. > >> # とりあえずインストールしただけで立ち上げられる,という意味で > > > > 本件について今回行き違い等があったこから、(上記インストール > > マニュアルの記載は、ユーザに対して補足情報になるのでそのまま > > 残しておき、)次回リリース時には、パッケージに含める設定サンプルは、 > > 上記コメントアウトを反映した内容とすることで、近藤も賛成です。 > > > > 以上よろしくお願い致します。 > > -- Hideaki Kondo From morisita.tooru @ nttcom.co.jp Thu Jan 29 15:09:26 2009 From: morisita.tooru @ nttcom.co.jp (=?ISO-2022-JP?B?GyRCPzkyPEUwGyhC?=) Date: Thu, 29 Jan 2009 15:09:26 +0900 Subject: [Ultramonkey-l7-develop 301] Re: =?iso-2022-jp?b?W1VsdHJhbW9ua2V5LWw3LXVzZXJzIDE2NV0gUmU6ICBS?= =?iso-2022-jp?b?ZTogc3NscHJveHkgGyRCJCxGMCQtJF4kOyRzGyhC?= In-Reply-To: <20090129114417.1957.KONDO.HIDEAKI@oss.ntt.co.jp> References: <20090128154759.1954.KONDO.HIDEAKI@oss.ntt.co.jp> <49801E1C.4030402@nttcom.co.jp> <20090129114417.1957.KONDO.HIDEAKI@oss.ntt.co.jp> Message-ID: <49814816.4020508@nttcom.co.jp> 近藤様 関係各位 森下です。お疲れ様です。 まず、大前提としてsslproxy設定ファイルの verify_options、ssloptions、cipher_listなどで 指定するパラメータ値は、OpenSSLライブラリのIFで 指定するものに、値(define値など)や名称を 準拠させております。 なので、各パラメータの詳細はOpenSSLライブラリの マニュアル等でも確認していただくことができるかと 思います。 近藤様の質問ですが、 「クライアント証明書の検証」に直接関わるパラメータ については、verify_optionsの4つでOKです。 (もちろん、クライアント証明書検証以外のパラメータ もクライアントからの接続可否に関わりますが。。。) verify_optionsのSSL_VERIFY_CLIENT_ONCEですが、 クライアント証明書の検証方法を指定するOpenSSLの関数 SSL_CTX_set_verifyで、指定するオプションに該当し、 設定している場合は、 SSL_VERIFY_PEERを併用設定している場合(クライアントに 証明書提示を要求する設定)に、最初のハンドシェイクでは 証明書提示を求めるが、ネゴシエーションが再度が行われて いる場合には、証明書を要求しない。 という動作になります。 ただし、今回の開発ではSSL_VERIFY_CLIENT_ONCE設定に ついては、対象外としており、動作検証までは行って おりません。 (そのため、管理マニュアルの記述を割愛していました) #もしかしたら、動作するかもしれませんが、設定して、 #立ち上がることぐらいまでしか確認していません。 以上、よろしくお願いいたします。 Hideaki Kondo さんは書きました: > 森下さま > (Cc:関係各位) > > 近藤です。 > お疲れ様です。 > > 今回の件に関連して、個人的にこれまでクライアント証明書 > 要求なしの条件でsslproxy動作チェックしていたところがあり、 > 便乗ですみませんが、少し追加確認させて下さい。 > > [ 確認事項 ] > > ・sslproxy設定ファイル(sslproxy..cf)の >  パラメータの中で、クライアント証明書要求有無に関連して >  直接考慮すべきパラメータは、以下であると認識しておりますが、 >  "SSL_VERIFY_CLIENT_ONCE" について管理マニュアル上で >  箇条書き説明が漏れておりました。 > > verify_options = "SSL_VERIFY_NONE" > verify_options = "SSL_VERIFY_PEER" > verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > verify_options = "SSL_VERIFY_CLIENT_ONCE" > >  "SSL_VERIFY_CLIENT_ONCE"パラメータについても、説明を追記 >  しておきたいですので、ML関係者間の情報共有の意味も含めて >  ご教示いただけないでしょうか。 >  Google等で調べて大よそ理解できましたが、念のため、 >  主開発者である森下さんより補足いただけますと有り難いです。 > > 以上、お手数をおかけしますが、よろしくお願い致します。 > > > On Wed, 28 Jan 2009 17:58:04 +0900 > 森下徹 wrote: > >> 竹林様 >> 関係各位 >> >> 森下です。お疲れ様です。 >> >> サンプル作成時は、デフォルトからクライアント証明書の >> 検証をしないのはどうか、と思い、サンプルでは有効、 >> 立ち上げ確認時は、コメントアウトという形にして >> おりました。 >> >> 竹林様、近藤様の指摘どおり、 >> 「インストールしてほぼそのまま上がる」方が >> よさそうですね。SSL_VERIFY_NONEのみとするのに >> 賛成いたします。 >> >> ちなみに、 >>>> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは >>>> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは >>>> すべて有効になっています. >> というのは、verify_options以外も全てでしょうか? >> >> 接続できないということはないと思いますが、 >> ssl_optionも、全て有効化はしないほうがよいように >> 思います。 >> >> 以上、よろしくお願いいたします。 >> >> Hideaki Kondo さんは書きました: >>> 竹林さま、各位 >>> >>> 近藤です。 >>> お疲れ様です。 >>> >>>> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは >>>> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは >>>> すべて有効になっています. >>>> >>>> どちらかに合わせる必要があると考えますが,検討して頂けますか. >>> 現在のところ、インストールマニュアルの「2.1 sslproxyの >>> インストール」には、以下の通り説明がなされている状況です。 >>> >>> ----- >>> #verify_options = "SSL_VERIFY_PEER" >>> #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" >>> をコメントアウトして、SSL_VERIFY_NONEのみ有効にする。 >>> (動作確認のため、クライアント証明書の検証を省略する設定) >>> ----- >>> >>> 従いまして、提供情報として食い違っているとまではいかない >>> 状況ですが、rpmパッケージも含めて考えますと、上記を確認し >>> 忘れて、今回と同様な指摘を受ける可能性がありますね。 >>> >>> >>>> 竹林個人としては,VERIFY_NONE のみが生かされた状態で >>>> サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. >>>> # とりあえずインストールしただけで立ち上げられる,という意味で >>> 本件について今回行き違い等があったこから、(上記インストール >>> マニュアルの記載は、ユーザに対して補足情報になるのでそのまま >>> 残しておき、)次回リリース時には、パッケージに含める設定サンプルは、 >>> 上記コメントアウトを反映した内容とすることで、近藤も賛成です。 >>> >>> 以上よろしくお願い致します。 >>> > > -- > Hideaki Kondo > > _______________________________________________ > Ultramonkey-l7-develop mailing list > Ultramonkey-l7-develop @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-develop > > > From kondo.hideaki @ oss.ntt.co.jp Thu Jan 29 17:39:47 2009 From: kondo.hideaki @ oss.ntt.co.jp (Hideaki Kondo) Date: Thu, 29 Jan 2009 17:39:47 +0900 Subject: [Ultramonkey-l7-develop 302] Re: =?iso-2022-jp?b?W1VsdHJhbW9ua2V5LWw3LXVzZXJzIDE2NV0gUmU6ICBS?= =?iso-2022-jp?b?ZTogc3NscHJveHkgGyRCJCxGMCQtJF4kOyRzGyhC?= In-Reply-To: <49814816.4020508@nttcom.co.jp> References: <20090129114417.1957.KONDO.HIDEAKI@oss.ntt.co.jp> <49814816.4020508@nttcom.co.jp> Message-ID: <20090129170220.1969.KONDO.HIDEAKI@oss.ntt.co.jp> 森下様 (Cc:関係各位) 近藤です。 お疲れ様です。 早々にご教示いただき有難うございました。 以下の件、了解しました。 森下さんの補足を踏まえ、"SSL_VERIFY_CLIENT_ONCE" パラメータについて、以下の説明を管理マニュアル(5.2節) に追記しておきました。 -- "SSL_VERIFY_PEER"を併用設定している場合に、最初の SSLハンドシェイクではクライアント証明書提示を求めるが、 再度ネゴシエーションが行われている場合には、証明書を 要求しない。(※但し、動作検証未実施) -- http://sourceforge.jp/projects/ultramonkey-l7/document/SSLProxy_admin_manual_v1.2/ja/7/SSLProxy_admin_manual_v1.2.txt 以上よろしくお願い致します。 On Thu, 29 Jan 2009 15:09:26 +0900 森下徹 wrote: > 近藤様 > 関係各位 > > 森下です。お疲れ様です。 > > まず、大前提としてsslproxy設定ファイルの > verify_options、ssloptions、cipher_listなどで > 指定するパラメータ値は、OpenSSLライブラリのIFで > 指定するものに、値(define値など)や名称を > 準拠させております。 > なので、各パラメータの詳細はOpenSSLライブラリの > マニュアル等でも確認していただくことができるかと > 思います。 > > 近藤様の質問ですが、 > 「クライアント証明書の検証」に直接関わるパラメータ > については、verify_optionsの4つでOKです。 > (もちろん、クライアント証明書検証以外のパラメータ > もクライアントからの接続可否に関わりますが。。。) > > verify_optionsのSSL_VERIFY_CLIENT_ONCEですが、 > クライアント証明書の検証方法を指定するOpenSSLの関数 > SSL_CTX_set_verifyで、指定するオプションに該当し、 > 設定している場合は、 > > SSL_VERIFY_PEERを併用設定している場合(クライアントに > 証明書提示を要求する設定)に、最初のハンドシェイクでは > 証明書提示を求めるが、ネゴシエーションが再度が行われて > いる場合には、証明書を要求しない。 > > という動作になります。 > > ただし、今回の開発ではSSL_VERIFY_CLIENT_ONCE設定に > ついては、対象外としており、動作検証までは行って > おりません。 > (そのため、管理マニュアルの記述を割愛していました) > > #もしかしたら、動作するかもしれませんが、設定して、 > #立ち上がることぐらいまでしか確認していません。 > > 以上、よろしくお願いいたします。 > > Hideaki Kondo さんは書きました: > > 森下さま > > (Cc:関係各位) > > > > 近藤です。 > > お疲れ様です。 > > > > 今回の件に関連して、個人的にこれまでクライアント証明書 > > 要求なしの条件でsslproxy動作チェックしていたところがあり、 > > 便乗ですみませんが、少し追加確認させて下さい。 > > > > [ 確認事項 ] > > > > ・sslproxy設定ファイル(sslproxy..cf)の > >  パラメータの中で、クライアント証明書要求有無に関連して > >  直接考慮すべきパラメータは、以下であると認識しておりますが、 > >  "SSL_VERIFY_CLIENT_ONCE" について管理マニュアル上で > >  箇条書き説明が漏れておりました。 > > > > verify_options = "SSL_VERIFY_NONE" > > verify_options = "SSL_VERIFY_PEER" > > verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > > verify_options = "SSL_VERIFY_CLIENT_ONCE" > > > >  "SSL_VERIFY_CLIENT_ONCE"パラメータについても、説明を追記 > >  しておきたいですので、ML関係者間の情報共有の意味も含めて > >  ご教示いただけないでしょうか。 > >  Google等で調べて大よそ理解できましたが、念のため、 > >  主開発者である森下さんより補足いただけますと有り難いです。 > > > > 以上、お手数をおかけしますが、よろしくお願い致します。 > > > > > > On Wed, 28 Jan 2009 17:58:04 +0900 > > 森下徹 wrote: > > > >> 竹林様 > >> 関係各位 > >> > >> 森下です。お疲れ様です。 > >> > >> サンプル作成時は、デフォルトからクライアント証明書の > >> 検証をしないのはどうか、と思い、サンプルでは有効、 > >> 立ち上げ確認時は、コメントアウトという形にして > >> おりました。 > >> > >> 竹林様、近藤様の指摘どおり、 > >> 「インストールしてほぼそのまま上がる」方が > >> よさそうですね。SSL_VERIFY_NONEのみとするのに > >> 賛成いたします。 > >> > >> ちなみに、 > >>>> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > >>>> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > >>>> すべて有効になっています. > >> というのは、verify_options以外も全てでしょうか? > >> > >> 接続できないということはないと思いますが、 > >> ssl_optionも、全て有効化はしないほうがよいように > >> 思います。 > >> > >> 以上、よろしくお願いいたします。 > >> > >> Hideaki Kondo さんは書きました: > >>> 竹林さま、各位 > >>> > >>> 近藤です。 > >>> お疲れ様です。 > >>> > >>>> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > >>>> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > >>>> すべて有効になっています. > >>>> > >>>> どちらかに合わせる必要があると考えますが,検討して頂けますか. > >>> 現在のところ、インストールマニュアルの「2.1 sslproxyの > >>> インストール」には、以下の通り説明がなされている状況です。 > >>> > >>> ----- > >>> #verify_options = "SSL_VERIFY_PEER" > >>> #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > >>> をコメントアウトして、SSL_VERIFY_NONEのみ有効にする。 > >>> (動作確認のため、クライアント証明書の検証を省略する設定) > >>> ----- > >>> > >>> 従いまして、提供情報として食い違っているとまではいかない > >>> 状況ですが、rpmパッケージも含めて考えますと、上記を確認し > >>> 忘れて、今回と同様な指摘を受ける可能性がありますね。 > >>> > >>> > >>>> 竹林個人としては,VERIFY_NONE のみが生かされた状態で > >>>> サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. > >>>> # とりあえずインストールしただけで立ち上げられる,という意味で > >>> 本件について今回行き違い等があったこから、(上記インストール > >>> マニュアルの記載は、ユーザに対して補足情報になるのでそのまま > >>> 残しておき、)次回リリース時には、パッケージに含める設定サンプルは、 > >>> 上記コメントアウトを反映した内容とすることで、近藤も賛成です。 > >>> > >>> 以上よろしくお願い致します。 > >>> > > > > -- > > Hideaki Kondo -- Hideaki Kondo(近藤 秀明)