home *** CD-ROM | disk | FTP | other *** search
/ Columbia Kermit / kermit.zip / newsgroups / misc.20021006-20030409 / 000284_curtis.steward@goodrich.com_Tue Feb 11 15:58:51 EST 2003.msg < prev    next >
Text File  |  2020-01-01  |  6KB  |  164 lines

  1. Article: 14079 of comp.protocols.kermit.misc
  2. Path: newsmaster.cc.columbia.edu!phl-feed.news.verio.net!iad-feed.news.verio.net!iad-peer.news.verio.net!news.verio.net!bloom-beacon.mit.edu!newsfeed.stanford.edu!postnews1.google.com!not-for-mail
  3. From: curtis.steward@goodrich.com (Curtis Steward)
  4. Newsgroups: comp.protocols.kermit.misc
  5. Subject: Re: SSL-Telnet waiting for WILL AUTHENTICATION subnegotiation
  6. Date: 11 Feb 2003 09:21:22 -0800
  7. Organization: http://groups.google.com/
  8. Lines: 145
  9. Message-ID: <f53f8c5c.0302110921.bbf187d@posting.google.com>
  10. References: <f53f8c5c.0302101307.43a79f75@posting.google.com> <3E482A46.2010509@nyc.rr.com>
  11. NNTP-Posting-Host: 207.180.255.121
  12. Content-Type: text/plain; charset=ISO-8859-1
  13. Content-Transfer-Encoding: 8bit
  14. X-Trace: posting.google.com 1044984082 5446 127.0.0.1 (11 Feb 2003 17:21:22 GMT)
  15. X-Complaints-To: groups-abuse@google.com
  16. NNTP-Posting-Date: 11 Feb 2003 17:21:22 GMT
  17. Xref: newsmaster.cc.columbia.edu comp.protocols.kermit.misc:14079
  18.  
  19. Jeff,
  20.  
  21. I didn't realize that "AUTH SSL" shouldn't be used.  Thanks
  22. for the tip, that's why I also had "start-tls refused", trying
  23. to force SSL...
  24.  
  25.   I've changed from SSL to TLS.
  26.   Added the "start-tls required".
  27.   I've also had to resort to "--database:off" on the server, see
  28. syslog.
  29.   However, things still hang:
  30.  
  31. Negotiations..TELNET RCVD DO START-TLS
  32. TELNET SENT SB START-TLS FOLLOWS IAC SE
  33. TELNET RCVD DO AUTHENTICATION
  34. TELNET RCVD DO NAWS
  35. TELNET RCVD WILL SUPPRESS-GO-AHEAD
  36. TELNET RCVD DO SUPPRESS-GO-AHEAD
  37. TELNET RCVD WILL ECHO
  38. TELNET RCVD DO NEW-ENVIRONMENT
  39. TELNET RCVD SB START-TLS FOLLOWS  IAC SE
  40. [TLS - handshake starting]
  41. Loading RSA certificate into SSL
  42. Enter pass phrase: <passphrase>
  43. SSL_handshake:UNKWN  before/connect initialization
  44. SSL_connect:UNKWN  before/connect initialization
  45. SSL_connect:3WCH_A SSLv3 write client hello A
  46. HANG...
  47.  
  48. syslog
  49. Feb 10 16:37:58 cms iksd[825]: file[] /var/log/95dfd2cb.339: rename to
  50. /var/log/iksd.lck failed (No such file or directory)
  51.  
  52. script
  53. #!/usr/local/bin/kermit +
  54. set debug on
  55. set debug session
  56. set auth tls debug on
  57. set auth tls rsa-cert-file w.pem                   ;personal cert pem
  58. set auth tls rsa-key-file work_priv.pem            ;personal key pem
  59. set auth tls verbose on
  60. set auth tls verify-dir /usr/local/ca              ;CA directory
  61. set auth tls verify-file /usr/local/ca/cacert.pem  ;CA cert pem w/hash
  62. set login userid <userid>
  63. set telopt start-tls required
  64.  
  65. iksd.conf
  66. set auth tls rsa-cert-file /root/HomeWIP/pki/c.pem  #points to host
  67. cert?
  68. set auth tls rsa-key-file /root/HomeWIP/pki/cms.jms.lucascargo.com.pem
  69.  #points to host key?
  70. set auth tls verify-dir /usr/local/ca
  71. set auth tls verify-file /usr/local/ca/cacert.pem
  72.  
  73. Is the host settings for the iksd.conf's rsa's suppose to be the host
  74. client?  And is the CA key the only key that needs hashed?  
  75.  
  76. Thanks
  77.  
  78. cs
  79.  
  80. "Jeffrey Altman [Road Runner NYC]" <jaltman2@nyc.rr.com> wrote in message news:<3E482A46.2010509@nyc.rr.com>...
  81. > You do not want to use the broken protocol AUTH SSL.  You want to use 
  82. > the START_TLS option.  Remove
  83. >    SET TeLNET AUTH TYPE SSL
  84. > and replace it with
  85. >    SET TeLOPT START-TLS REQUIRE
  86. > Why are you refusing START-TLS on the SERVER?
  87. > The AUTH SSL protocol is only meant for use with old Eric Young telnet 
  88. > servers.
  89. > Curtis Steward wrote:
  90. > > I'm trying to get straight SSL authentication to work as described in:
  91. > > http://www.columbia.edu/kermit/security80.html (compiled with
  92. > > "linux+openssl" no flags).  I understand that ~/.tlslogin will give me
  93. > > a complete cert to userid map with the code as is.
  94. > > 
  95. > > After pouring over the doc I'm receiving the following:
  96. > > 
  97. > > c-kermit8.0
  98. > > ...
  99. > > iksd <hostname>
  100. > > ...
  101. > > TELNET RCVD DO NEW-ENVIRONMENT
  102. > > TELNET RCVD SB AUTHENTICATION SEND SSL CLIENT_TO_SERVER|ONE_WAY   IAC
  103. > > SE
  104. > > Loading RSA certificate into SSL
  105. > > Enter pass phrase: <pass-phrase>
  106. > > Authenticating with SSL
  107. > > TELNET SENT SB AUTHENTICATION IS SSL CLIENT_TO_SERVER|ONE_WAY START
  108. > > IAC SE
  109. > > TELNET RCVD DONT TERMINAL-TYPE
  110. > > TELNET RCVD SB NEW-ENVIRONMENT SEND  IAC SE
  111. > > TELNET RCVD DONT COM-PORT-CONTROL
  112. > >  Negotiations..............................
  113. > > *************************
  114. > > The Telnet server is not sending required responses.
  115. > > 
  116. > > ?Telnet waiting for WILL AUTHENTICATION subnegotiation
  117. > > 
  118. > > You can continue to wait or you can cancel with Ctrl-C.
  119. > > In case the Telnet server never responds as required,
  120. > > you can try connecting to this host with TELNET /NOWAIT.
  121. > > Use SET HINTS OFF to suppress further hints.
  122. > > *************************
  123. > > 
  124. > > ...
  125. > > 
  126. > > /etc/iksd.conf
  127. > > set auth ssl rsa-cert-file /root/HomeWIP/pki/cmscert.pem       #
  128. > > points to host cert?
  129. > > set auth ssl rsa-key-file /root/HomeWIP/pki/cms.jms.lucascargo.com.pem
  130. > > # points to host key?
  131. > > set auth ssl verify-dir /usr/local/ca                          # pem
  132. > > is hashed
  133. > > set auth ssl verify-file /usr/local/ca/cacert.pem
  134. > > set telopt start-tls refused                                   # just
  135. > > SSL
  136. > > 
  137. > > script
  138. > > #!/usr/local/bin/kermit +
  139. > > set debug on
  140. > > set debug session
  141. > > set auth ssl debug on
  142. > > set auth ssl rsa-cert-file w.pem                   ;personal cert pem
  143. > > set auth ssl rsa-key-file work_priv.pem            ;personal key pem
  144. > > set auth ssl verbose on
  145. > > set auth ssl verify-dir /usr/local/ca              ;CA directory
  146. > > set auth ssl verify-file /usr/local/ca/cacert.pem  ;CA cert pem
  147. > > set login userid <userid>
  148. > > set telnet auth type ssl                           ;just SSL
  149. > > 
  150. > > I've tried sb-implies-will-do on/off on both client and server
  151. > > sides with no luck.
  152. > > 
  153. > > TIA,
  154. > > 
  155. > > cs
  156.