我设置了麹在构建环境中Centos6机器服务器根据文档建议(http://fedoraproject.org/wiki/Koji/ServerHowTo)。我可以使用 HTTP 正确访问 Koji 网站,但我遇到了SSL 证书问题切换到 HTTPS 时:
Mozilla FireFox 产生的客户端浏览器错误:
SSL peer was unable to negotiate an acceptable set of security parameters. (Error code: ssl_error_handshake_failure_alert)
启用两个管理员用户后,运行命令时出现 Koji 特有的错误:
すぎど; koji 调用 getLoggedInUser
错误位于 : kojiman:
Error: [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]
苏 kojiadmin; koji 调用 getLoggedInUser 时出错:kojiadmin
Error: [('SSL routines', 'SSL3_READ_BYTES', 'sslv3 alert bad certificate'), ('SSL routines', 'SSL3_WRITE_BYTES', 'ssl handshake failure')]
在 httpd ssl 日志中我有以下内容:
############################”SSL 错误:
[Wed Feb 05 18:37:28 2014] [error] [client 46.21.193.155] Certificate Verification: Error (19): self signed certificate in certificate chain
[Wed Feb 05 18:44:06 2014] [warn] RSA server certificate CommonName (CN) `kojihub' does NOT match server name!?
[Wed Feb 05 18:44:06 2014] [warn] RSA server certificate CommonName (CN) `kojihub' does NOT match server name!?
当我测试使用 openSSL 获得的证书时:
openssl s_client -connect 本地主机:443 -tls1 -CAfile /etc/pki/koji/kojihub.pem
我确实得到了:
verify error:num=20:unable to get local issuer certificate
verify error:num=27:certificate not trusted
verify error:num=21:unable to verify the first certificate
verify return:1
139736479307592:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1256:SSL alert number 40
139736479307592:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
Verify return code: 21 (unable to verify the first certificate)
答案1
kojihub 和 kojiweb 证书必须将其 CN 设置为各自服务器的完全限定域名。文档中写道:
其中两个证书(kojihub 和 kojiweb)用作服务器端证书,用于向客户端验证服务器身份。因此,您希望这两个证书上的通用名称都是它们所运行的 Web 服务器的完全限定域名,这样客户端就不会抱怨通用名称和服务器不一致。您可以将这两个证书的 OU 设置为 kojihub 和 kojiweb,以便进行识别。