WebアクティビティをプロキシするApache風のサーバーであり、キャンパス以外のユーザーを図書館のリソースに認証するために一般的に使用されているApacheのようなサーバー。私の機関では、EZProxyは、JavaベースのドキュメントリポジトリソフトウェアであるDSpaceを実行する別のサーバー用の疑似CASサーバーとして動作します。ユーザは、EZproxyを使用してDSpaceに認証します。これは、認証情報をCASのようにDSpaceクライアントに渡します。新しいSSL証明書を使用したJavaエラーの1024ビットDHパラメータ
証明書を1024ビット以上でエンコードする際に問題が発生していましたが、DHパラメータを生成して証明書と仲介業者に追加しました。according to these instructionsすばらしいです。今度は新しいセキュリティ証明書があります。私は
openssl dhparam 1024
を使用して新しいDHパラメータは、私が前に行っていたと同じように新しくインストールされた証明書にDHパラメータを付加し、そしてEZProxyサーバを再起動し、生成、新しい証明書をインストールしました。私は新しい証明書とDHのparamsをアクティブにする場合しかし、私はこのリポジトリに保管さ同じエラーを取得しています:
javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate
DH keypair
私はより明確にキーペアがハンドシェイク中に生成されたときに何が起こるかを理解する必要があると思います。 DSpace/Javaサーバーに何かがキャッシュされている可能性はありますか? DSpace管理者はこれまでのトラブルシューティングで、CAS認証設定を何度かリセットしましたが、これは時間外に試してみる予定ですが、違いが生じる理由を概念的に理解しようとしています。
documentation about Diffie-Hellmanを見ると、このタイプのハンドシェイクが設定されているときに、サーバー間で共有秘密が渡されたように見えますが、初めてこれを稼働させるとDSpace側には何もインストールしませんでしたわずか数回認証設定をリセットしてください。
CAS認証ソースとしてEZProxyサーバの初期セットアップ時にDSpaceサーバがDHパラメータから情報をキャッシュすることは可能ですか? DHパラメータの生成と証明書への追加に間違ったことをしていますか?古い証明書に追加された古いDHパラメータを消去するために、別の手順が必要ですか? 古い DHパラメータを新しい証明書で再利用できないのはなぜですか?私はそれを試み、同じエラーが発生した - DH鍵ペアを生成できませんでした。ただし、証明書をx509証明書と仲介者に追加された古いDHキーペアを含む古い証明書に戻すと、認証が再び機能します。
トラブルシューティングのアドバイスをありがとうございます。
解決策としてマークするには、緑色になるように左の目盛りをクリックしてください。 – halfer