按照文档( http://fedoraproject.org/wiki/Koji/ServerHowTo )的build议,我在Centos6 Machine服务器中设置了koji build环境。 我可以使用HTTP正确访问Koji Web,但是在切换到HTTPS时遇到SSL证书问题 :
Mozilla FireFox产生的客户端浏览器错误:
SSL peer was unable to negotiate an acceptable set of security parameters. (Error code: ssl_error_handshake_failure_alert) 启用两个pipe理员用户后,运行命令时出现Koji特定错误:
su kojiman; 酒曲调用getLoggedInUser
错误:kojiman:
Error: [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]
#
su kojiadmin; koji调用getLoggedInUser下的错误:kojiadmin
Error: [('SSL routines', 'SSL3_READ_BYTES', 'sslv3 alert bad certificate'), ('SSL routines', 'SSL3_WRITE_BYTES', 'ssl handshake failure')]
而在httpd ssl日志中,我有以下几点:
############################”
SSL错误:
[Wed Feb 05 18:37:28 2014] [error] [client 46.21.193.155] Certificate Verification: Error (19): self signed certificate in certificate chain [Wed Feb 05 18:44:06 2014] [warn] RSA server certificate CommonName (CN) `kojihub' does NOT match server name!? [Wed Feb 05 18:44:06 2014] [warn] RSA server certificate CommonName (CN) `kojihub' does NOT match server name!?
当我testing使用openSSL获得的证书时:
openssl s_client -connect localhost:443 -tls1 -CAfile /etc/pki/koji/kojihub.pem
我确实得到:
verify error:num=20:unable to get local issuer certificate verify error:num=27:certificate not trusted verify error:num=21:unable to verify the first certificate verify return:1 139736479307592:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1256:SSL alert number 40 139736479307592:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596: Verify return code: 21 (unable to verify the first certificate)
kojihub和kojiweb证书的CN必须设置为每个服务器的完全限定的域名。 这是在文档中:
两个证书(kojihub和kojiweb)用作服务器端证书,用于向客户端validation服务器。 出于这个原因,您希望这两个证书上的通用名称都是运行的Web服务器的完全限定域名,以便客户端不会抱怨通用名称和服务器不相同。 您可以将这两个证书的OU设置为kojihub和kojiweb用于识别目的。