<div dir="ltr">Ok, I'll give this a shot.  Thank you for your help.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Aug 31, 2015 at 10:56 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Cohen, Laurence wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Thank you Standa,<br>
<br>
Option number 2 isn't possible at our site.  Would you be able to<br>
explain number 1 to me?  I'm very green with mod_nss so I don't know how<br>
to set this up.<br>
</blockquote>
<br></span>
The problem you're seeing is that in proxy mode, mod_nss is acting as a client and it doesn't trust or know the issuer of the server certificate it is contacting. So you need to get that CA cert (or chain) and add it to the mod_nss NSS database.<br>
<br>
You can add it ala:<br>
<br>
# certutil -A -d /etc/httpd/alias -n <some useful unique nickname> -t CT,, -a -i /path/to/ca.pem<br>
<br>
rob<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Thanks,<br>
<br>
Larry C.<span class=""><br>
<br>
On Mon, Aug 31, 2015 at 3:14 AM, <a href="mailto:stokos@suse.de" target="_blank">stokos@suse.de</a> <mailto:<a href="mailto:stokos@suse.de" target="_blank">stokos@suse.de</a>><br>
<<a href="mailto:stokos@suse.de" target="_blank">stokos@suse.de</a> <mailto:<a href="mailto:stokos@suse.de" target="_blank">stokos@suse.de</a>>> wrote:<br>
<br>
    On Thu, 27 Aug 2015 14:36:06 -0400<br></span>
    "Cohen, Laurence" <<a href="mailto:lcohen@novetta.com" target="_blank">lcohen@novetta.com</a> <mailto:<a href="mailto:lcohen@novetta.com" target="_blank">lcohen@novetta.com</a>>><span class=""><br>
    wrote:<br>
<br>
    Hi Laurence,<br>
<br>
     > Hi,<br>
     ><br>
     > I'm trying to set up an nss.conf to use while we are doing<br>
    maintenance<br>
     > which will point all ssl traffic to a file called maintenance.html<br>
     > which simply states that we are doing maintenance on the server.  The<br>
     > rewrite.conf we have set up is working fine for port 80 traffic, but<br>
     > the nss.conf is not working.<br>
     ><br>
     > Here are the errors I'm getting.  BTW, we are using a self signed<br>
    cert<br>
     > because this is our test system.  I figured this would cause an info<br>
     > or at most a warning message, but not an error message.<br>
     ><br>
     > [Thu Aug 27 13:38:00 2015] [info] Connection to child 0 established<br>
     > (server jamie-web1:443, client "Server IP")<br>
     > [Thu Aug 27 13:38:00 2015] [info] Connection to child 7 established<br>
     > (server jamie-web1:443, client "Server IP")<br>
     > [Thu Aug 27 13:38:00 2015] [info] SSL input filter read failed.<br>
     > [Thu Aug 27 13:38:00 2015] [error] SSL Library Error: -12195 Peer<br>
     > does not recognize and trust the CA that issued your certificate<br>
     > [Thu Aug 27 13:38:00 2015] [info] Connection to child 7 closed<br>
    (server<br></span>
     > <a href="http://jamie-web1.novetta.com:443" rel="noreferrer" target="_blank">jamie-web1.novetta.com:443</a> <<a href="http://jamie-web1.novetta.com:443" rel="noreferrer" target="_blank">http://jamie-web1.novetta.com:443</a>>,<span class=""><br>
    client Server IP)<br>
     > [Thu Aug 27 13:38:00 2015] [info] SSL library error -8172 writing<br>
    data<br>
     > [Thu Aug 27 13:38:00 2015] [info] SSL Library Error: -8172<br>
     > Certificate is signed by an untrusted issuer<br>
     > [Thu Aug 27 13:38:00 2015] [error] (20014)Internal error: proxy: pass<br></span>
     > request body failed to <a href="http://10.3.238.21:443" rel="noreferrer" target="_blank">10.3.238.21:443</a> <<a href="http://10.3.238.21:443" rel="noreferrer" target="_blank">http://10.3.238.21:443</a>><div><div class="h5"><br>
    (jamie-web1)<br>
     > [Thu Aug 27 13:38:00 2015] [error] proxy: pass request body failed to<br>
     > Server IP:443 (jamie-web1) from Server IP ()<br>
     > [Thu Aug 27 13:38:00 2015] [info] Connection to child 1 closed<br>
    (server<br>
     > jamie-web1:443, client "Workstation IP")<br>
     ><br>
<br>
    I suppose that this problem is with CA certificate on remote server:<br>
<br>
    You have two possible solution:<br>
<br>
    1. add CA from remote server to your certificate database at PROXY<br>
    server<br>
    2. build mod_nss with a patch from this email<br>
<br>
<br>
    PS: I have already worked on a similar problem for our customer.<br>
<br>
    Have nice day<br>
<br>
    Standa<br>
<br>
     > This is the nss.conf I'm using.<br>
     ><br>
     > Listen 443<br>
     ><br>
     > AddType application/x-x509-ca-cert .crt<br>
     > AddType application/x-pkcs7-crl    .crl<br>
     ><br>
     > NSSPassPhraseDialog file:/etc/httpd/.password.conf<br>
     > #NSSPassPhraseDialog  builtin<br>
     ><br>
     > NSSPassPhraseHelper /usr/sbin/nss_pcache<br>
     ><br>
     > NSSSessionCacheSize 10000<br>
     > NSSSessionCacheTimeout 100<br>
     > NSSSession3CacheTimeout 86400<br>
     ><br>
     ><br>
     > NSSRandomSeed startup builtin<br>
     ><br>
     ><br>
     > <VirtualHost _default_:443><br>
     ><br>
     > DocumentRoot "/var/www/docroot"<br>
     > NSSProxyCheckPeerCN Off<br>
     > NSSEngine on<br>
     > NSSProxyEngine on<br>
     > NSSEnforceValidCerts off<br>
     > NSSRenegotiation on<br>
     > NSSRequireSafeNegotiation on<br>
     ><br>
     > NSSCipherSuite<br>
     ><br>
    +rsa_3des_sha,-rsa_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,+fips_3des_sha,-fips_des_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-rsa_des_56_sha,-rsa_rc4_56_sha,+rsa_aes_128_sha,+rsa_aes_256_sha<br>
     ><br>
     > NSSProxyCipherSuite<br>
     ><br>
    +rsa_3des_sha,-rsa_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,+fips_3des_sha,-fips_des_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-rsa_des_56_sha,-rsa_rc4_56_sha,+rsa_aes_128_sha,+rsa_aes_256_sha<br>
     ><br>
     > NSSProtocol TLSv1<br>
     > NSSNickname Server-Cert<br>
     > NSSCertificateDatabase /etc/httpd/alias<br>
     > NSSFIPS on<br>
     > NSSOCSP off<br>
     ><br>
     > ProxyPreserveHost On<br>
     ><br>
     ><br>
     > <Location /><br>
     > #SSLRenegBufferSize 52430000<br>
     >       NSSVerifyClient optional<br>
     >       NSSOptions +ExportCertData +StdEnvVars<br>
     >       ProxyPass <a href="https://jamie-web1/maintenance.html" rel="noreferrer" target="_blank">https://jamie-web1/maintenance.html</a><br>
     >       ProxyPassReverse <a href="https://jamie-web1/maintenance.html" rel="noreferrer" target="_blank">https://jamie-web1/maintenance.html</a><br>
     > </Location><br>
     ><br>
     > <Files ~ "\.(cgi|shtml|phtml|php3?)$"><br>
     >     NSSOptions +StdEnvVars<br>
     > </Files><br>
     > <Directory "/var/www/cgi-bin"><br>
     >     NSSOptions +StdEnvVars<br>
     > </Directory><br>
     ><br>
     ><br>
     > # initialize the SSL headers to a blank value to avoid http header<br>
     > forgeries RequestHeader set SSL_CLIENT_CERT ""<br>
     > RequestHeader set SSL_CIPHER ""<br>
     > RequestHeader set SSL_SESSION_ID ""<br>
     > RequestHeader set SSL_CIPHER_USEKEYSIZE ""<br>
     ><br>
     > RequestHeader set SSL_CLIENT_CERT "%{SSL_CLIENT_CERT}s"<br>
     > RequestHeader set SSL_CIPHER "%{SSL_CIPHER}s"<br>
     > RequestHeader set SSL_SESSION_ID "%{SSL_SESSION_ID}s"<br>
     > RequestHeader set SSL_CIPHER_USEKEYSIZE "%{SSL_CIPHER_USEKEYSIZE}s"<br>
     ><br>
     > CustomLog /var/log/httpd/ssl_request_log "%t %h %{SSL_CLIENT_CERT}x<br>
     > %{SSL_CLIENT_S_DN}x %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"<br>
     ><br>
     ><br>
     > ErrorLog /etc/httpd/logs/error_log<br>
     > TransferLog /etc/httpd/logs/access_log<br>
     > LogLevel info<br>
     ><br>
     > </VirtualHost><br>
     ><br>
     > If anyone can help I'd appreciate it.<br>
     ><br>
     > Thanks,<br>
     ><br>
     > Larry Cohen<br>
<br>
<br>
    _______________________________________________<br>
    Mod_nss-list mailing list<br></div></div>
    <a href="mailto:Mod_nss-list@redhat.com" target="_blank">Mod_nss-list@redhat.com</a> <mailto:<a href="mailto:Mod_nss-list@redhat.com" target="_blank">Mod_nss-list@redhat.com</a>><br>
    <a href="https://www.redhat.com/mailman/listinfo/mod_nss-list" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/mod_nss-list</a><br>
<br>
<br>
<br>
<br>
--<span class=""><br>
<br>
<a href="http://www.novetta.com" rel="noreferrer" target="_blank">www.novetta.com</a><br>
<br>
Larry Cohen<br>
<br>
System Administrator<br>
<br>
<br>
12021 Sunset Hills Road, Suite 400<br>
<br>
Reston, VA 20190<br>
<br></span>
Email <a href="mailto:lcohen@novetta.com" target="_blank">lcohen@novetta.com</a> <<a href="http://novetta.com" rel="noreferrer" target="_blank">http://novetta.com</a>><br>
<br>
Office 703-885-1064<span class=""><br>
<br>
<br>
<br>
_______________________________________________<br>
Mod_nss-list mailing list<br>
<a href="mailto:Mod_nss-list@redhat.com" target="_blank">Mod_nss-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/mod_nss-list" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/mod_nss-list</a><br>
<br>
</span></blockquote>
<br>
</blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><p dir="ltr" style="color:rgb(51,51,51);font-family:'Lucida Grande','Lucida Sans',Verdana,Arial,sans-serif;font-size:13.3333339691162px;line-height:1.5;margin-top:0pt;margin-bottom:0pt"><span style="color:rgb(0,0,0);font-family:Helvetica,sans-serif;font-size:15px;vertical-align:baseline;white-space:pre-wrap;background-color:transparent"><img alt="www.novetta.com" src="https://p2.zdassets.com/hc/theme_assets/236109/200035260/novetta-email.png" style="border:currentcolor" height="56" width="211"></span></p><p dir="ltr" style="color:rgb(51,51,51);font-family:'Lucida Grande','Lucida Sans',Verdana,Arial,sans-serif;font-size:13.3333339691162px;line-height:1.5;margin-top:0pt;margin-bottom:0pt"><span style="color:rgb(0,100,182);font-family:Helvetica,sans-serif;font-weight:bold;vertical-align:baseline;white-space:pre-wrap">Larry Cohen</span></p><p dir="ltr" style="color:rgb(51,51,51);font-family:'Lucida Grande','Lucida Sans',Verdana,Arial,sans-serif;font-size:13.3333339691162px;line-height:1.2;margin-top:0pt;margin-bottom:0pt"><span style="color:rgb(147,149,152);font-family:Helvetica,sans-serif;font-style:italic;vertical-align:baseline;white-space:pre-wrap">System Administrator</span></p><p dir="ltr" style="color:rgb(51,51,51);font-family:'Lucida Grande','Lucida Sans',Verdana,Arial,sans-serif;font-size:13.3333339691162px;line-height:1.5;margin-top:0pt;margin-bottom:0pt"><br style="font-size:13.3333339691162px;line-height:22.2222232818604px"></p><p style="color:rgb(51,51,51);font-family:'Lucida Grande','Lucida Sans',Verdana,Arial,sans-serif;font-size:13.3333339691162px;line-height:1.2;margin-top:0pt;margin-bottom:0pt"><span style="color:rgb(147,149,152);font-family:Helvetica,sans-serif;vertical-align:baseline;white-space:pre-wrap">12021 Sunset Hills Road, Suite 400</span></p><p dir="ltr" style="color:rgb(51,51,51);font-family:'Lucida Grande','Lucida Sans',Verdana,Arial,sans-serif;font-size:13.3333339691162px;line-height:1.2;margin-top:0pt;margin-bottom:0pt"><span style="color:rgb(147,149,152);font-family:Helvetica,sans-serif;vertical-align:baseline;white-space:pre-wrap">Reston, VA 20190</span></p><p dir="ltr" style="color:rgb(51,51,51);font-family:'Lucida Grande','Lucida Sans',Verdana,Arial,sans-serif;font-size:13.3333339691162px;line-height:1.2;margin-top:0pt;margin-bottom:0pt"><span style="color:rgb(0,100,182);font-family:Helvetica,sans-serif;vertical-align:baseline;white-space:pre-wrap">Email</span><span style="color:rgb(147,149,152);font-family:Helvetica,sans-serif;vertical-align:baseline;white-space:pre-wrap">  lcohen@</span><span style="color:rgb(17,85,204);font-family:Helvetica,sans-serif;text-decoration:underline;vertical-align:baseline;white-space:pre-wrap"><a href="http://novetta.com" target="_blank">novetta.com</a></span><span style="color:rgb(147,149,152);font-family:Helvetica,sans-serif;vertical-align:baseline;white-space:pre-wrap"> </span></p><p dir="ltr" style="color:rgb(51,51,51);font-family:'Lucida Grande','Lucida Sans',Verdana,Arial,sans-serif;font-size:13.3333339691162px;line-height:1.2;margin-top:0pt;margin-bottom:0pt"><span style="color:rgb(0,100,182);font-family:Helvetica,sans-serif;vertical-align:baseline;white-space:pre-wrap">Office</span><span style="color:rgb(147,149,152);font-family:Helvetica,sans-serif;vertical-align:baseline;white-space:pre-wrap">  703-885-1064</span></p><p dir="ltr" style="font-family:'Lucida Grande','Lucida Sans',Verdana,Arial,sans-serif;font-size:13.3333339691162px;line-height:1.2;margin-top:0pt;margin-bottom:0pt"><span style="color:rgb(147,149,152);font-family:Helvetica,sans-serif;vertical-align:baseline;white-space:pre-wrap"></span></p><table style="color:rgb(147,149,152);font-family:sans-serif;font-size:medium"><tbody><tr></tr><tr></tr><tr></tr></tbody></table> </div></div>
</div>