Вопросы Теги

Включить сшивание OCSP с Freeipa — Apache

awk— плохой инструмент для обработки изображений.

Проблема возникает из-за неправильной записи заголовка изображения PPM в выходной файл. Вы также игнорируете заголовок во входном файле. Если изображение PPM не относится к типуP3(RGB в кодировке ASCII ),P2(карта серого в кодировке ASCII )илиP1(черный в кодировке ASCII -и -белый ), вы также можете Не читайте его так, как вы обычно читаете текстовый файл (, так как он будет двоичным ).

Формат этого заголовка описан, например, в статье Википедии о формате Netpbm . Пример, приведенный в статье, 

P3
3 2
255
# The part above is the header
# "P3" means this is a RGB color image in ASCII
# "3 2" is the width and height of the image in pixels
# "255" is the maximum value for each color
# The part below is image data: RGB triplets
255   0   0     0 255   0     0   0 255
255 255   0   255 255 255     0   0   0

Обратите внимание, что в этом примерев строке три пикселя, хотя более поздние примеры в статье показывают, что новые строки не имеют значения и что значения RGB пикселей могут быть нормализованы:

То же изображение:

P3
# The same image with width 3 and height 2,
# using 0 or 1 per color (red, green, blue)
3 2 1
1 0 0   0 1 0   0 0 1
1 1 0   1 1 1   0 0 0

То же изображение:

P3 3 2 1  1 0 0   0 1 0   0 0 1  1 1 0   1 1 1   0 0 0

Кроме того, ваш цикл игнорирует последние три значения RGB в каждой строке (или три последних пикселя, если изображение черно-белое или полутоновое ).

0
04.11.2019, 11:43
1 ответ

Если предположить, что вы выполнили тест openssl ocsp...из myserver.mydomain.com, похоже, что myserver.mydomain.com имеет подключение к ответчику OCSP.

Следующее, что нужно определить, серверный процесс Apache HTTPS может использовать это подключение? В CentOS 7 SELinux включен по умолчанию, и у него есть некоторые ограничения для httpd. При сшивании OCSP процесс httpdдолжен иметь возможность устанавливать исходящие TCP-соединения с ответчиком OCSP. Чтобы разрешить это, вам нужно будет сделать:

 setsebool -P httpd_can_network_connect 1

Без этой настройки процесс httpdне сможет устанавливать исходящие TCP-соединения. :он может отвечать только на входящие соединения. Это, безусловно, предотвратит выполнение любых запросов OCSP.

Вам также следует просмотреть журналы HTTPS-сервера. Если он регистрирует сообщения об ошибках, такие как:

AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!

тогда проблема заключается в том, что сервер HTTPS не имеет доступной цепочки сертификатов ЦС для ответчика OCSP, поэтому он не может проверить подлинность ответа, полученного от ответчика OCSP. Чтобы это исправить, вам необходимо предоставить соответствующий сертификат CA (s )на HTTPS-сервер, используя директивы SSLCertificateFileили SSLCertificateChainFileв конфигурации HTTPS-сервера. Если вы используете SSLCertificateFile, вы можете просто добавить сертификаты в формате PEM -соответствующих промежуточных и корневых ЦС ()в файл, содержащий сертификат вашего HTTPS-сервера.

2
28.01.2020, 03:10

Теги

Похожие вопросы