V návaznosti na naše články o OpenCA jsem dnes dostal chybu „Aborting connection – you use a too short symmetric keylength() ” při přístupu k rozhraní RA. Tento tutoriál vysvětlí, jak to opravit.
Řešení: Příliš krátká symetrická délka klíče
K výše uvedené chybě dochází, když je délka symetrického klíče zadaná v <openca_install_dir>/etc/access_control/ra.xml je kratší. V mém případě to bylo „128' .
<openca> <access_control> <channel> <type>mod_ssl</type> <protocol>ssl</protocol> <source>.*</source> <asymmetric_cipher>.*</asymmetric_cipher> <asymmetric_keylength>0</asymmetric_keylength> <symmetric_cipher>.*</symmetric_cipher> <symmetric_keylength>128</symmetric_keylength> </channel>
Tento odkaz však říká, že symmetric_keylength by mělo být rovné nebo větší než 128 a totéž lze ověřit kliknutím na visací zámek SSL v adresním řádku prohlížeče.
Chcete-li tuto chybu vyřešit, můžete nastavit symmetric_keylength na '.*' nebo něco vyššího než 128 a ujistěte se, že webový server exportuje správnou velikost klíče. Chcete-li to provést, zkopírujte a vložte níže uvedený řádek do ssl.conf nebo http.conf
SSLOptions +StdEnvVars +ExportCertData
Musíte restartovat webový server.
# systemctl restart httpd
To je ono!