[Eppnicbr] EPP não conecta ao atualizar SSL
Daniel Cassiani Rezende
vrx_drezende at uolinc.com
Wed Jul 29 11:24:21 BRT 2015
Bom dia,
Eu atualizei pelo YUM o OpenSSL, mas os erros continuam os mesmos no SHEPP:
- CentOS release 5.4 (Final)
- OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
- Comandos no EPP:
server beta.registro.br
port 700
user xx_SEGREDO_xx
pw xx_SEGREDO_xx
client-pem /opt/shepp/share/libepp_nicbr/ssl/client.pem
pass xx_SEGREDO_xx
connect
server beta.registro.br:700
ERROR! Transport Exception [1003]:
[Error connecting SSL object]
[error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm]
Testei o certificado e OpenSSL segundo o esse tutorial sobre OpenSSL:
https://www.madboa.com/geek/openssl/#cert-test
E segue o resultado (aparentemente, tudo OK) recebido via browser, acessando o https do certificado (o que foi obtido em ftp://ftp.registro.br/pub/libepp-nicbr/test-certificates/ ):
openssl s_server -cert /opt/shepp/share/libepp_nicbr/ssl/client.pem -www
Ciphers supported in s_server binary
TLSv1/SSLv3:DHE-RSA-AES256-SHA TLSv1/SSLv3:DHE-DSS-AES256-SHA
TLSv1/SSLv3:AES256-SHA TLSv1/SSLv3:KRB5-DES-CBC3-MD5
TLSv1/SSLv3:KRB5-DES-CBC3-SHA TLSv1/SSLv3:EDH-RSA-DES-CBC3-SHA
TLSv1/SSLv3:EDH-DSS-DES-CBC3-SHA TLSv1/SSLv3:DES-CBC3-SHA
SSLv2 :DES-CBC3-MD5 TLSv1/SSLv3:DHE-RSA-AES128-SHA
TLSv1/SSLv3:DHE-DSS-AES128-SHA TLSv1/SSLv3:AES128-SHA
SSLv2 :RC2-CBC-MD5 TLSv1/SSLv3:KRB5-RC4-MD5
TLSv1/SSLv3:KRB5-RC4-SHA TLSv1/SSLv3:RC4-SHA
TLSv1/SSLv3:RC4-MD5 SSLv2 :RC4-MD5
TLSv1/SSLv3:KRB5-DES-CBC-MD5 TLSv1/SSLv3:KRB5-DES-CBC-SHA
TLSv1/SSLv3:EDH-RSA-DES-CBC-SHA TLSv1/SSLv3:EDH-DSS-DES-CBC-SHA
TLSv1/SSLv3:DES-CBC-SHA SSLv2 :DES-CBC-MD5
TLSv1/SSLv3:EXP-KRB5-RC2-CBC-MD5 TLSv1/SSLv3:EXP-KRB5-DES-CBC-MD5
TLSv1/SSLv3:EXP-KRB5-RC2-CBC-SHA TLSv1/SSLv3:EXP-KRB5-DES-CBC-SHA
TLSv1/SSLv3:EXP-EDH-RSA-DES-CBC-SHA TLSv1/SSLv3:EXP-EDH-DSS-DES-CBC-SHA
TLSv1/SSLv3:EXP-DES-CBC-SHA TLSv1/SSLv3:EXP-RC2-CBC-MD5
SSLv2 :EXP-RC2-CBC-MD5 TLSv1/SSLv3:EXP-KRB5-RC4-MD5
TLSv1/SSLv3:EXP-KRB5-RC4-SHA TLSv1/SSLv3:EXP-RC4-MD5
SSLv2 :EXP-RC4-MD5
---
Ciphers common between both SSL end points:
DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA AES128-SHA
AES256-SHA DES-CBC3-SHA
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES128-SHA
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES128-SHA
Session-ID: EA20BFC1D0135FD33A82FACD30317734FB2D4FE5139A4154AA03C1C9D1ACE9B0
Session-ID-ctx: 01000000
Master-Key: CFEEECABF4E0CE4024BEAD07D09942C0BC81E9B2E11D5022F7D7C40DA67AF19736323B9DCAA9A46B62D479966E2026F3
Key-Arg : None
Krb5 Principal: None
Start Time: 1438178955
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
4 items in the session cache
0 client connects (SSL_connect())
0 client renegotiates (SSL_connect())
0 client connects that finished
5 server accepts (SSL_accept())
0 server renegotiates (SSL_accept())
5 server accepts that finished
0 session cache hits
0 session cache misses
0 session cache timeouts
0 callback cache hits
0 cache full overflows (128 allowed)
---
no client certificate available
Aparentemente está tudo ok. Alguma idéia? Estamos tendo perdas financeira com essa atualização de certificado...
OBS: Só pra constar, da mesma máquina, o telnet funciona normalmente da mesma máquina:
telnet beta.registro.br 700
Trying 200.160.2.6...
Connected to beta.registro.br (200.160.2.6).
Escape character is '^]'.
Daniel Cassiani Rezende
________________________________
AVISO: A informação contida neste e-mail, bem como em qualquer de seus anexos, é CONFIDENCIAL e destinada ao uso exclusivo do(s) destinatário(s) acima referido(s), podendo conter informações sigilosas e/ou legalmente protegidas. Caso você não seja o destinatário desta mensagem, informamos que qualquer divulgação, distribuição ou cópia deste e-mail e/ou de qualquer de seus anexos é absolutamente proibida. Solicitamos que o remetente seja comunicado imediatamente, respondendo esta mensagem, e que o original desta mensagem e de seus anexos, bem como toda e qualquer cópia e/ou impressão realizada a partir destes, sejam permanentemente apagados e/ou destruídos. Informações adicionais sobre nossa empresa podem ser obtidas no site http://sobre.uol.com.br/.
NOTICE: The information contained in this e-mail and any attachments thereto is CONFIDENTIAL and is intended only for use by the recipient named herein and may contain legally privileged and/or secret information.
If you are not the e-mail´s intended recipient, you are hereby notified that any dissemination, distribution or copy of this e-mail, and/or any attachments thereto, is strictly prohibited. Please immediately notify the sender replying to the above mentioned e-mail address, and permanently delete and/or destroy the original and any copy of this e-mail and/or its attachments, as well as any printout thereof. Additional information about our company may be obtained through the site http://www.uol.com.br/ir/.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://eng.registro.br/pipermail/eppnicbr/attachments/20150729/223d8d99/attachment-0001.html>
More information about the eppnicbr
mailing list