<div dir="ltr">Hi Rob,<div><br></div><div>Thanks a lot for your mail.</div><div><br></div><div> I added my root certificate into mod_nss db and configured NSSVerifyClient optional.</div><div><br></div><div><div>Server-Cert                                                  u,u,u</div><div>server-ca                                                     C,,</div></div><div><br></div><div>When I send a request to the server with client certificate, i got an exception:</div><div><pre>javax.net.ssl.SSLException: Connection has been shutdown: javax.net.ssl.SSLHandshakeException: Received fatal alert: unknown_ca.</pre><pre><br></pre><pre>Do I need to do any configuration changes in mod_nss.conf file after adding CA's certificate into mod_nss db?</pre><pre>Please provide your inputs.</pre><pre><br></pre><pre>Thanks & Regards,</pre><pre>Mohan</pre></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 12, 2015 at 1:28 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">Mohanavelu Subramanian wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi All,<br>
<br>
Good Morning.<br>
<br>
I am to new mod nss mailing list. I have described the issue I am facing<br>
to support TLSv1.2<br>
<br>
Currently, our product use Apache 2.2.12 provided by SLES 11sp3.<br>
We are doing a securing hardening now by enabling only TLSv1.2 protocol<br>
and disabling other protocols. I tried to configure "SSLProtocol<br>
  TLSv1.2". But after apache restart, it throws an error "invalid<br>
protocol". I came to know that mod_ssl refers openssl 0.9.8 version,<br>
though we have latest openssl 1.0.1(which supports TLSv1.2). The mod_ssl<br>
loads openssl0.9.8 always.<br>
<br>
It seems the latest Apache version 2.4.x supports TLSv1.2. But this<br>
apache version is available in SLES 12 only which wont be available for<br>
us for another 6 months.So, we dropped this option.<br>
<br>
So, the procurement team advised us to use mod_nss which can support<br>
TLSv1.2 with Apache 2.2.12. We started the migration from mod_ssl to<br>
mod_nss and everything went well, but the directive "SSLVerifyClient<br>
optional_no_ca" is not available with mod_nss. It provides only<br>
none,optional,require.So, we are blocked on this and could not migrate<br>
to mod_nss.<br>
If I configure optional, the handshake fails.<br>
But in case of none option , I understood from the doc's available from<br>
Internet that server won't request or require client certificate. But we<br>
have clients who send their certificate and we verify those certificate<br>
for authenticity at application level instead of in apache server(no ca<br>
at apache server ). So this scenario also fails when the application<br>
looks for certificate but not sent by client because of none option .<br>
Can you please suggest how to overcome this issue, any other alternatives.<br>
</blockquote>
<br></div></div>
Why can't you add the issuing CA's on the mod_nss side so optional works?<br>
<br>
optional_no_ca might be possible but it would be an ugly hack due to the way NSS callbacks work. Accepting unknown client certificates seems like a bad idea.<span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
<br>
</font></span></blockquote></div><br></div>