3 ответов в этой теме

[Jumbo Frame]

Добрый день!

 

Компонента Dr.Web HTTPD, OS - linux

Подскажите, как можно использовать собственный сертификат для данной компоненты?

Выпускается сертификат через certbot со своей CA по ACME

Прописывается в конфиге Dr.Web ConfigD в файле drweb.ini (имена доменов исправлены):

[HTTPD]

AdminListen="0.0.0.0:4443"

PublicListen="0.0.0.0:4080"

AdminSslCertificate = /etc/letsencrypt/live/myhostname.ru/fullchain.pem

AdminSslKey = /etc/letsencrypt/live/myhostname.ru/privkey.pem

AdminSslCa = /etc/opt/drweb.com/certs/ca.pem

 

Конфигурация устанавливается централизованно для данного хоста через esuite.

В итоге сервер доступен по api через curl, отвечает на запросы

Например запрос:

curl https://myhostname:4443/api/10.2/get_lexmap

с указанием сертификата для авторизации отрабатывает штатно.

Однако просто по запросу curl https://myhostname.ru:4443/-k

Получаем ответ:

curl: (35) OpenSSL/3.0.10: error:0A000410:SSL routines::sslv3 alert handshake failure

В браузере аналогичная ошибка, в админку хоста не пускает:

Error code: SSL_ERROR_HANDSHAKE_FAILURE_ALERT

Корневые CA в браузере прописаны.

curl пробовали запускать с опцией --cacert и явным указанием корневого, результат тот же.

[Afalin]

У кого есть права – перенесите уже в раздел "Dr.Web для Unix". Там больше шансов получить ответ.

[Jumbo Frame]

Уже не надо )

В ходе экспериментов - решили.

При непустой опции HTTPD.AdminSslCa сервер начинает требовать сертификат от клиента для подключения.

Но при добавлении сертификата в браузер отлично заходит и в админку тоже.

[Afalin]

Ну не знаю, по диагонали посмотрел доку – опция эта не требует абсолютно для всех запросов предоставлять клиентский сертификат. Она касается исключительно суперпользователя.