[Eisfair] Problem mit neuer libssl! und freeradius?

Juergen Edner juergen at eisfair.org
Mi Jan 18 09:59:09 CET 2012


Hallo Stephan,

>>>  Auth: Login incorrect (CRL signature failure): [SMARTPHONE/<via Auth-Type =
>>>  Error: --> verify error:num=8:CRL signature failure
>>
>> dies deutet nach meinem VerstÃñndnis auf ein Problem bei der
>> Signaturpræfung hin. Eventuell hat sich in das Standardverhalten
>> bei der Præfung von Zertifikaten geÃñndert oder in freeradius
>> wurde ein anderes Verhalten aktiviert.
> 
> ich weiß nur, daß ich an freeradius seit dem letzten offiziellen
> Update nicht mehr gearbeitet hatte. Da sollten also keine Änderungen
> sein.

hast Du freeradius schon einmal mit der aktuellen Library neu übersetzt?
Ich habe selbst schon einmal beim mail-Paket die Erfahrung gemacht,
dass hier sehr enge Verbindungen existieren können auch wenn es sich um
die gleiche Hauptversionsnummer handelt. Aus diesem Grund wird z.B. bei
Exim die verwendete und installierte libssl-Version bei einer
Debugsession ganz am Anfang angezeigt. Die Zertifikate selbst waren nie
das Problem und sind vom Inhalt her standardisiert.

Die Zertifikatsprüfung geschieht von radiusd und dort sollten wir
bei der Suche ansetzen. Kannst Du im ersten Schritt ein Debuglog einer
fehlgeschlagenen Sitzung liefern? Da in den bisherigen Logs z.B. von
Certificate B die Rede war kann dies auch darauf hindeuten dass das zum
Signieren verwendete Rootzertifikat nicht gefunden wird. Da Du ein
eigenes Verzeichnis für die Zertifikate verwendest wäre denkbar dass
irgendwo der CA-Pfad noch einmal gesetzt werden muss. Zumindest habe
ich dies aus den anderen Postings heraus gelesen.

> In "davfs2 SSL Handshake-Problem" hatte ja noch jemand Probleme mit
> der neuen libssl. Soweit ich das verstanden habe. Ich würde aber nur
> äußerst ungerne alle Certs erneuern und neu ausrollen.

Bei dem in diesem Thread beschriebenen Problem sticht mir die folgende
Meldung ins Auge:

  SSL handshake failed: SSL disabled due to library version mismatch
                                     ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Dies bestätigt meines Erachtens meine obige Argumentation, Zertifikate
waren hier nicht der Grund. Bitte übersetze radiusd einmal neu und wir
schauen was dabei rauskommt.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org


Mehr Informationen über die Mailingliste Eisfair