森下徹
moris****@nttco*****
2009年 1月 29日 (木) 15:09:26 JST
近藤様 関係各位 森下です。お疲れ様です。 まず、大前提としてsslproxy設定ファイルの verify_options、ssloptions、cipher_listなどで 指定するパラメータ値は、OpenSSLライブラリのIFで 指定するものに、値(define値など)や名称を 準拠させております。 なので、各パラメータの詳細はOpenSSLライブラリの マニュアル等でも確認していただくことができるかと 思います。 近藤様の質問ですが、 「クライアント証明書の検証」に直接関わるパラメータ については、verify_optionsの4つでOKです。 (もちろん、クライアント証明書検証以外のパラメータ もクライアントからの接続可否に関わりますが。。。) verify_optionsのSSL_VERIFY_CLIENT_ONCEですが、 クライアント証明書の検証方法を指定するOpenSSLの関数 SSL_CTX_set_verifyで、指定するオプションに該当し、 設定している場合は、 SSL_VERIFY_PEERを併用設定している場合(クライアントに 証明書提示を要求する設定)に、最初のハンドシェイクでは 証明書提示を求めるが、ネゴシエーションが再度が行われて いる場合には、証明書を要求しない。 という動作になります。 ただし、今回の開発ではSSL_VERIFY_CLIENT_ONCE設定に ついては、対象外としており、動作検証までは行って おりません。 (そのため、管理マニュアルの記述を割愛していました) #もしかしたら、動作するかもしれませんが、設定して、 #立ち上がることぐらいまでしか確認していません。 以上、よろしくお願いいたします。 Hideaki Kondo さんは書きました: > 森下さま > (Cc:関係各位) > > 近藤です。 > お疲れ様です。 > > 今回の件に関連して、個人的にこれまでクライアント証明書 > 要求なしの条件でsslproxy動作チェックしていたところがあり、 > 便乗ですみませんが、少し追加確認させて下さい。 > > [ 確認事項 ] > > ・sslproxy設定ファイル(sslproxy.<target_id>.cf)の > パラメータの中で、クライアント証明書要求有無に関連して > 直接考慮すべきパラメータは、以下であると認識しておりますが、 > "SSL_VERIFY_CLIENT_ONCE" について管理マニュアル上で > 箇条書き説明が漏れておりました。 > > verify_options = "SSL_VERIFY_NONE" > verify_options = "SSL_VERIFY_PEER" > verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > verify_options = "SSL_VERIFY_CLIENT_ONCE" > > "SSL_VERIFY_CLIENT_ONCE"パラメータについても、説明を追記 > しておきたいですので、ML関係者間の情報共有の意味も含めて > ご教示いただけないでしょうか。 > Google等で調べて大よそ理解できましたが、念のため、 > 主開発者である森下さんより補足いただけますと有り難いです。 > > 以上、お手数をおかけしますが、よろしくお願い致します。 > > > On Wed, 28 Jan 2009 17:58:04 +0900 > 森下徹 <moris****@nttco*****> wrote: > >> 竹林様 >> 関係各位 >> >> 森下です。お疲れ様です。 >> >> サンプル作成時は、デフォルトからクライアント証明書の >> 検証をしないのはどうか、と思い、サンプルでは有効、 >> 立ち上げ確認時は、コメントアウトという形にして >> おりました。 >> >> 竹林様、近藤様の指摘どおり、 >> 「インストールしてほぼそのまま上がる」方が >> よさそうですね。SSL_VERIFY_NONEのみとするのに >> 賛成いたします。 >> >> ちなみに、 >>>> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは >>>> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは >>>> すべて有効になっています. >> というのは、verify_options以外も全てでしょうか? >> >> 接続できないということはないと思いますが、 >> ssl_optionも、全て有効化はしないほうがよいように >> 思います。 >> >> 以上、よろしくお願いいたします。 >> >> Hideaki Kondo さんは書きました: >>> 竹林さま、各位 >>> >>> 近藤です。 >>> お疲れ様です。 >>> >>>> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは >>>> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは >>>> すべて有効になっています. >>>> >>>> どちらかに合わせる必要があると考えますが,検討して頂けますか. >>> 現在のところ、インストールマニュアルの「2.1 sslproxyの >>> インストール」には、以下の通り説明がなされている状況です。 >>> >>> ----- >>> #verify_options = "SSL_VERIFY_PEER" >>> #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" >>> をコメントアウトして、SSL_VERIFY_NONEのみ有効にする。 >>> (動作確認のため、クライアント証明書の検証を省略する設定) >>> ----- >>> >>> 従いまして、提供情報として食い違っているとまではいかない >>> 状況ですが、rpmパッケージも含めて考えますと、上記を確認し >>> 忘れて、今回と同様な指摘を受ける可能性がありますね。 >>> >>> >>>> 竹林個人としては,VERIFY_NONE のみが生かされた状態で >>>> サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. >>>> # とりあえずインストールしただけで立ち上げられる,という意味で >>> 本件について今回行き違い等があったこから、(上記インストール >>> マニュアルの記載は、ユーザに対して補足情報になるのでそのまま >>> 残しておき、)次回リリース時には、パッケージに含める設定サンプルは、 >>> 上記コメントアウトを反映した内容とすることで、近藤も賛成です。 >>> >>> 以上よろしくお願い致します。 >>> > > -- > Hideaki Kondo > > _______________________________________________ > Ultramonkey-l7-develop mailing list > Ultra****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/ultramonkey-l7-develop > > >