Hideaki Kondo
kondo****@oss*****
2009年 1月 29日 (木) 14:19:29 JST
森下さま (Cc:関係各位) 近藤です。 お疲れ様です。 今回の件に関連して、個人的にこれまでクライアント証明書 要求なしの条件でsslproxy動作チェックしていたところがあり、 便乗ですみませんが、少し追加確認させて下さい。 [ 確認事項 ] ・sslproxy設定ファイル(sslproxy.<target_id>.cf)の パラメータの中で、クライアント証明書要求有無に関連して 直接考慮すべきパラメータは、以下であると認識しておりますが、 "SSL_VERIFY_CLIENT_ONCE" について管理マニュアル上で 箇条書き説明が漏れておりました。 verify_options = "SSL_VERIFY_NONE" verify_options = "SSL_VERIFY_PEER" verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" verify_options = "SSL_VERIFY_CLIENT_ONCE" "SSL_VERIFY_CLIENT_ONCE"パラメータについても、説明を追記 しておきたいですので、ML関係者間の情報共有の意味も含めて ご教示いただけないでしょうか。 Google等で調べて大よそ理解できましたが、念のため、 主開発者である森下さんより補足いただけますと有り難いです。 以上、お手数をおかけしますが、よろしくお願い致します。 On Wed, 28 Jan 2009 17:58:04 +0900 森下徹 <moris****@nttco*****> wrote: > 竹林様 > 関係各位 > > 森下です。お疲れ様です。 > > サンプル作成時は、デフォルトからクライアント証明書の > 検証をしないのはどうか、と思い、サンプルでは有効、 > 立ち上げ確認時は、コメントアウトという形にして > おりました。 > > 竹林様、近藤様の指摘どおり、 > 「インストールしてほぼそのまま上がる」方が > よさそうですね。SSL_VERIFY_NONEのみとするのに > 賛成いたします。 > > ちなみに、 > >> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > >> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > >> すべて有効になっています. > というのは、verify_options以外も全てでしょうか? > > 接続できないということはないと思いますが、 > ssl_optionも、全て有効化はしないほうがよいように > 思います。 > > 以上、よろしくお願いいたします。 > > Hideaki Kondo さんは書きました: > > 竹林さま、各位 > > > > 近藤です。 > > お疲れ様です。 > > > >> ちなみに sourceforge 上の管理マニュアルにあるサンプルでは > >> NONE 以外がコメントアウトされた状態ですが,tar 玉や rpm の中のサンプルは > >> すべて有効になっています. > >> > >> どちらかに合わせる必要があると考えますが,検討して頂けますか. > > > > 現在のところ、インストールマニュアルの「2.1 sslproxyの > > インストール」には、以下の通り説明がなされている状況です。 > > > > ----- > > #verify_options = "SSL_VERIFY_PEER" > > #verify_options = "SSL_VERIFY_FAIL_IF_NO_PEER_CERT" > > をコメントアウトして、SSL_VERIFY_NONEのみ有効にする。 > > (動作確認のため、クライアント証明書の検証を省略する設定) > > ----- > > > > 従いまして、提供情報として食い違っているとまではいかない > > 状況ですが、rpmパッケージも含めて考えますと、上記を確認し > > 忘れて、今回と同様な指摘を受ける可能性がありますね。 > > > > > >> 竹林個人としては,VERIFY_NONE のみが生かされた状態で > >> サンプルを配布する(管理マニュアルにあわせる)ほうが良いかと考えます. > >> # とりあえずインストールしただけで立ち上げられる,という意味で > > > > 本件について今回行き違い等があったこから、(上記インストール > > マニュアルの記載は、ユーザに対して補足情報になるのでそのまま > > 残しておき、)次回リリース時には、パッケージに含める設定サンプルは、 > > 上記コメントアウトを反映した内容とすることで、近藤も賛成です。 > > > > 以上よろしくお願い致します。 > > -- Hideaki Kondo
UltraMonkey-L7
Fork