Hideaki Kondo
kondo****@oss*****
2009年 1月 29日 (木) 17:39:47 JST
森下様 (Cc:関係各位) 近藤です。 お疲れ様です。 早々にご教示いただき有難うございました。 以下の件、了解しました。 森下さんの補足を踏まえ、"SSL_VERIFY_CLIENT_ONCE" パラメータについて、以下の説明を管理マニュアル(5.2節) に追記しておきました。 -- "SSL_VERIFY_PEER"を併用設定している場合に、最初の SSLハンドシェイクではクライアント証明書提示を求めるが、 再度ネゴシエーションが行われている場合には、証明書を 要求しない。(※但し、動作検証未実施) -- http://sourceforge.jp/projects/ultramonkey-l7/document/SSLProxy_admin_manual_v1.2/ja/7/SSLProxy_admin_manual_v1.2.txt 以上よろしくお願い致します。 On Thu, 29 Jan 2009 15:09:26 +0900 森下徹 <moris****@nttco*****> wrote: > 近藤様 > 関係各位 > > 森下です。お疲れ様です。 > > まず、大前提としてsslproxy設定ファイルの > verify_options、ssloptions、cipher_listなどで > 指定するパラメータ値は、OpenSSLライブラリのIFで > 指定するものに、値(define値など)や名称を > 準拠させております。 > なので、各パラメータの詳細はOpenSSLライブラリの > マニュアル等でも確認していただくことができるかと > 思います。 > > 近藤様の質問ですが、 > 「クライアント証明書の検証」に直接関わるパラメータ > については、verify_optionsの4つでOKです。 > (もちろん、クライアント証明書検証以外のパラメータ > もクライアントからの接続可否に関わりますが。。。) > > verify_optionsのSSL_VERIFY_CLIENT_ONCEですが、 > クライアント証明書の検証方法を指定するOpenSSLの関数 > SSL_CTX_set_verifyで、指定するオプションに該当し、 > 設定している場合は、 > > SSL_VERIFY_PEERを併用設定している場合(クライアントに > 証明書提示を要求する設定)に、最初のハンドシェイクでは > 証明書提示を求めるが、ネゴシエーションが再度が行われて > いる場合には、証明書を要求しない。 > > という動作になります。 > > ただし、今回の開発ではSSL_VERIFY_CLIENT_ONCE設定に > ついては、対象外としており、動作検証までは行って > おりません。 > (そのため、管理マニュアルの記述を割愛していました) > > #もしかしたら、動作するかもしれませんが、設定して、 > #立ち上がることぐらいまでしか確認していません。 > > 以上、よろしくお願いいたします。 > > Hideaki Kondo さんは書きました: > > 森下さま > > (Cc:関係各位) > > > > 近藤です。 > > お疲れ様です。 > > > > 今回の件に関連して、個人的にこれまでクライアント証明書 > > 要求なしの条件でsslproxy動作チェックしていたところがあり、 > > 便乗ですみませんが、少し追加確認させて下さい。 > > > > [ 確認事項 ] > > > > ・sslproxy設定ファイル(sslproxy.<target_id>.cf)の > > パラメータの中で、クライアント証明書要求有無に関連して > > 直接考慮すべきパラメータは、以下であると認識しておりますが、 > > "SSL_VERIFY_CLIENT_ONCE" について管理マニュアル上で > > 箇条書き説明が漏れておりました。 > > > > verify_options = "SSL_VERIFY_NONE" > > verify_options = "SSL_VERIFY_PEER" > > verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > > verify_options = "SSL_VERIFY_CLIENT_ONCE" > > > > "SSL_VERIFY_CLIENT_ONCE"パラメータについても、説明を追記 > > しておきたいですので、ML関係者間の情報共有の意味も含めて > > ご教示いただけないでしょうか。 > > Google等で調べて大よそ理解できましたが、念のため、 > > 主開発者である森下さんより補足いただけますと有り難いです。 > > > > 以上、お手数をおかけしますが、よろしくお願い致します。 > > > > > > On Wed, 28 Jan 2009 17:58:04 +0900 > > 森下徹 <moris****@nttco*****> wrote: > > > >> 竹林様 > >> 関係各位 > >> > >> 森下です。お疲れ様です。 > >> > >> サンプル作成時は、デフォルトからクライアント証明書の > >> 検証をしないのはどうか、と思い、サンプルでは有効、 > >> 立ち上げ確認時は、コメントアウトという形にして > >> おりました。 > >> > >> 竹林様、近藤様の指摘どおり、 > >> 「インストールしてほぼそのまま上がる」方が > >> よさそうですね。SSL_VERIFY_NONEのみとするのに > >> 賛成いたします。 > >> > >> ちなみに、 > >>>> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > >>>> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > >>>> すべて有効になっています. > >> というのは、verify_options以外も全てでしょうか? > >> > >> 接続できないということはないと思いますが、 > >> ssl_optionも、全て有効化はしないほうがよいように > >> 思います。 > >> > >> 以上、よろしくお願いいたします。 > >> > >> Hideaki Kondo さんは書きました: > >>> 竹林さま、各位 > >>> > >>> 近藤です。 > >>> お疲れ様です。 > >>> > >>>> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > >>>> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > >>>> すべて有効になっています. > >>>> > >>>> どちらかに合わせる必要があると考えますが,検討して頂けますか. > >>> 現在のところ、インストールマニュアルの「2.1 sslproxyの > >>> インストール」には、以下の通り説明がなされている状況です。 > >>> > >>> ----- > >>> #verify_options = "SSL_VERIFY_PEER" > >>> #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > >>> をコメントアウトして、SSL_VERIFY_NONEのみ有効にする。 > >>> (動作確認のため、クライアント証明書の検証を省略する設定) > >>> ----- > >>> > >>> 従いまして、提供情報として食い違っているとまではいかない > >>> 状況ですが、rpmパッケージも含めて考えますと、上記を確認し > >>> 忘れて、今回と同様な指摘を受ける可能性がありますね。 > >>> > >>> > >>>> 竹林個人としては,VERIFY_NONE のみが生かされた状態で > >>>> サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. > >>>> # とりあえずインストールしただけで立ち上げられる,という意味で > >>> 本件について今回行き違い等があったこから、(上記インストール > >>> マニュアルの記載は、ユーザに対して補足情報になるのでそのまま > >>> 残しておき、)次回リリース時には、パッケージに含める設定サンプルは、 > >>> 上記コメントアウトを反映した内容とすることで、近藤も賛成です。 > >>> > >>> 以上よろしくお願い致します。 > >>> > > > > -- > > Hideaki Kondo -- Hideaki Kondo(近藤 秀明)
UltraMonkey-L7
Fork