SSL/Stunnel certificate probleem - Linux en overige clients

dinsdag 3 mei 2005 09:26

Acties:

0 Henk 'm!

Anoniem: 92875

Topicstarter

Laat ik eerst vertellen wati k wil bereiken. Ik heb een syslog server opgezet met syslog-ng. Hierbj wil ik al het verkeer van de client naar de server over een stunnel/ssl laten lopen zodat deze niet zomaar gebruikt kunnen worden.
Voor het opzetten hiervan ( sinds ik weinig verstand heb van certifcates) heb ik de volgende handleiding van stunnel.org gebruikt.

HANDLEIDING

Ok wat heb ik gedaan:

Server kant:

[/usr/share/ssl/certs]
Hier heb ik een certificate gemaakt met make syslog-ng-server.pem (geen velden ingevuld)
deze syslog-ng-server.pem heb ik vervolgens naar /etc/stunnel gekopieerd.
In /etc/stunnel heb ik volgens de handleiding deze file gemaakt

[stunnel.conf]

code:

cert = /etc/stunnel/syslog-ng-server.pem
CAfile = /etc/stunnel/syslog-ng-client.pem
verify = 3
[5140]
accept = 131.xxx.xxx.xxx:5140 (server IP)
connect = 127.0.0.1:514

Client kant

[/usr/share/ssl/certs]
Hier heb ik een certificate gemaakt met make syslog-ng-client.pem (geen velden in gevuld)
deze syslog-ng-client.pem heb ik vervolgens naar /etc/stunnel gekopieerd.
In /etc/stunnel heb ik volgens de handleiding deze file gemaakt

[stunnel.conf]

code:

client = yes
cert = /etc/stunnel/syslog-ng-client.pem
CAfile = /etc/stunnel/syslog-ng-server.pem
verify = 3
[5140]
accept = 127.0.0.1:514
connect = 131.xxx.xxx.xxx:5140 (server IP)

Vervolgens heb ik aan de server kant een file genaamd syslog-ng-client.pem gemaakt ( gedaan met VI) en vanuit de client kants ze syslog-ng-client.pem het certificate gedeelte gekopieerd naar de server ze syslog-ng-client.pem.

Aan de client kant heb ik hetzelfde gedaan maar dan andersom. Hier heb ik een file gemaakt genaamd syslog-ng-server.pem en vanuit de server ze kant het certificate gedeelte uit syslog-ng-server.pem naar het bestand syslog-ng-server.pem aan de client kant gekopieerd.

Wanneer ik nu syslog-ng en stunnel aan beide kanten opstart krijg ik de volgende errorr in /var/log/secure

code:

1
2

May  3 08:01:38 c150228 stunnel[6399]: 5140 connected from 131.xxx.xxx.xxx:3328 (client IP)
May  3 08:01:38 c150228 stunnel[6399]: SSL_accept: 14094412: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate

Kan iemand me hier helpen, zie ik iets over het hoofd? het heeft gewerkt via een andere client maar nu werkt het niet !.... ik zit echt vast. thnx in advance

[ Voor 4% gewijzigd door Anoniem: 92875 op 03-05-2005 09:30 ]

dinsdag 3 mei 2005 09:41

Acties:

0 Henk 'm!

Anoniem: 92875

Topicstarter

Kleine update:
Ik heb een 2e machine erbij gepakt en vervogels exact het zelfde gedaan als op de andere client!
ik heb van de nieuwe client ook het certicate gedeetle van /etc/stunnel/syslog-ng-client.pem in de server zijn /etc/stunnel/syslog-ng-client.pem erbij geplaatst.

Nu had ik dus 2 certificates erin staan! een van client 1 en een van client 2 gescheiden door een lege regel.
Toen kreeg ik hetzelfde probleem als bij client 1 dat er een probleem was met het certificate. ging weer naar /etc/stunnel/syslog-ng-client.pem aan de server kant en heb het certificat van client 1 verwijder. Dus alleen het certificate van de nieuwe client stond erin!. En ja hoor het werkt!. Maar het rare is dat zodra ik b.v. allen het ce r tificate van client 1 erin laat staan het nog steeds niet werkt op client 1

werkende client 2

code:

May  3 08:33:20 c150228 stunnel[6727]: stunnel 4.05 on i386-redhat-linux-gnu PTHREAD+LIBWRAP with OpenSSL 0.9.7a Feb 19 2003
May  3 08:33:20 c150228 stunnel[6727]: FD_SETSIZE=1024, file ulimit=1024 -> 500 clients allowed
May  3 08:33:37 c150228 stunnel[6728]: 5140 connected from 131.xxx.xxx.xxx:33671
May  3 08:33:37 c150228 stunnel[6728]: VERIFY OK: depth=0, /C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd

[ Voor 22% gewijzigd door Anoniem: 92875 op 03-05-2005 09:51 ]

dinsdag 3 mei 2005 10:14

Acties:

0 Henk 'm!

Anoniem: 92875

Topicstarter

Update 3 ( ik blijf mijzelf updaten )

ik heb de stunnel.conf verander zowel op server als op client in

[server]

code:

# Sample stunnel configuration file

cert = /etc/stunnel/stunnel.pem
pid = /var/run/stunnel.pid

[syslog-ngs]
accept = 131.xxx.xxx.xx:5140 (server IP)
connect = 127.0.0.1:514

[client]

code:

# Sample stunnel configuration file

pid = /var/run/stunnel.pid

# Use it for client mode
client = yes

[syslog-ngs]
accept  = 127.0.0.1:514
connect = 131.xxx.xxx.xxx:5140

Heb aan de server kant een certifcate gemaakt genaamd stunnel.pem en de client kant heb ik niets nieuws toegevoegd kwa certificates.

zodra ik beide clients de stunnel start verbinden ze goed volgens /var/log/secrue

/var/log/secure

code:

1 2	May 3 09:04:42 c150228 stunnel[6800]: syslog-ngs connected from 131.xxx.xxx.xxx:33781 May 3 09:05:25 c150228 stunnel[6800]: syslog-ngs connected from 131.xxx.xxx.xxx:1128

Ze connecten allen met de server zodra ik de stunnel opstart op de client. maar ik zie geen verwijzinging in /var/logl/secure dat er een stunnel verginding is hoewl deze message alleen komt zodra ik de stunnel start aan de clients kant.

Ik weet dat het veel text is maar als jullie me kunnen helpen graag

dinsdag 3 mei 2005 14:37

Acties:

0 Henk 'm!

froggie

Kwaaak

Je zou eens kunnen proberen of er daadwerkelijk een encrypted tunnel is.

Zorg dat er op je client geen ander verkeer is. Start tcpdump en laat die alle traffic op je nic sniffen. Maak nu een normale verbinding met je log server (dus zonder encryptie) en gebruik logger (oid) om een log naar die server te schrijven. Als het goed is moet je die dan plain text voorbij zien komen in de output van tcpdump.
Daarna kun je het hele truukje nog een keer uithalen maar dan met een tunnel ertussen. Als je dan alleen nog maar 'rommel' op de lijn ziet ipv een plain text log dan zou je tunnel moeten werken.

Of is dit niet wat je wil weten en moet ik je posts beter lezen?

Reageer