
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>

<p>Hi Larry,</p>

<p>Thank you for your reply!</p>

<p>It is actually a chain with an intermediate CA. So maybe I just hit the issue you also discovered?</p>

<p>It is about this URL/certificate: https://services.geo.zg.ch/</p>

<p>Root CA: SwissSign Silver G2 Root CA<br />Intermediate CA: Swiss Sign Silver CA 2014 - G22<br />SSL Certificate: services.geo.zg.ch</p>

<p>So I will try do have a look at the workaround or fall back to http only - because I can control both servers.</p>

<p>Thanks,</p>

<p>Andreas</p>

<p>On 2017-01-27 21:49, Larry Shaffer wrote:</p>

<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0"><!-- html ignored --><!-- head ignored --><!-- meta ignored -->

<div dir="ltr">Hi Andreas,

<div class="gmail_extra"><br />

<div class="gmail_quote">On Fri, Jan 27, 2017 at 8:48 AM, Neumann, Andreas <span><<a href="mailto:a.neumann@carto.net">a.neumann@carto.net</a>></span> wrote:<br />

<blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left: 1px solid #cccccc; padding-left: 1ex;">

<div style="font-size: 10pt; font-family: verdana,geneva,sans-serif;">

<p>Some more information on my server:</p>

<p>Linux CentOS7</p>

<p>qt 4.8.5</p>

<p>The server only allows tls connections, no SSLv2/3 or such vulnerable stuff. Perhaps qt is too old to properly support tls ciphers?</p>

<p>Can I add an SSL "do not check exception" for specific connections of QGIS server?</p>

<p>If yes - how would I configure that for QGIS server?</p>

<p> </p>

</div>

</blockquote>

<div>Qt 4.8 can definitely use TLS, and can be configured (in a SSL Server configuration) to connect to the WMS endpoint how you feel is appropriate, including ignoring specific SSL errors. This assumes you are cascading by configuring a QGIS project with a WMS layer and then, in turn, serving again via WMS through QGIS Server. If so, you should be able to use the authentication system to solve the connection issues. However, you will need to have the authentication database available to QGIS Server as well, via env variable, because the SSL Server configurations are stored in it.</div>

<div> </div>

<div>Recently (last week), I noticed a possible bug in the auth system whereby the SSL endpoint connected to will throw an SSL error when the endpoint has intermediate certificates that are not stored in QGIS's Authorities tab. Usually, validation would not check for trust of intermediates, only whether a given cert in the chain is valid for the particular use and the eventual trustworthiness of its root Certificate Authority. Essentially, any intermediates need to be trusted as roots CAs until this is fixed.</div>

<div> </div>

<div>In this case, for a workaround, you will need to either add the intermediate certificates to OpenSSL's referenced trusted roots file/directory, or add them to your Authorities tab in QGIS (which adds them to the authentication database as trusted, by default) then ensure the auth database can be used by QGIS Server for the project.</div>

<div> </div>

<div>I would need to know more about your particular SSL setup to give any further suggestions here. Unfortunately, "SSL handshake failed" is a too vague, and I am only guessing at the problem above.</div>

<div> </div>

<div>Regards,</div>

<div> </div>

<div>Larry Shaffer<br />Dakota Cartography<br />Black Hills, South Dakota</div>

<div> </div>

<blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left: 1px solid #cccccc; padding-left: 1ex;">

<div style="font-size: 10pt; font-family: verdana,geneva,sans-serif;">

<p>Thanks for any hints,</p>

<p>Andreas</p>

<div>

<div class="gmail-h5">

<p>On 2017-01-27 16:31, Neumann, Andreas wrote:</p>

</div>

</div>

<blockquote style="padding: 0px 0.4em; border-left: 2px solid #1010ff; margin: 0px;">

<div>

<div class="gmail-h5">

<p>Hi,</p>

<p>I want to use a cascading WMS in QGIS server. I know it is not ideal, perfomance wise, but it would be only for printing.</p>

<p>Problem is that the WMS uses https and QGIS server can't connect. The QGIS server log shows a connect error:</p>

<p>Download of capabilities failed: SSL handshake failed</p>

<p>curl or wget on the same server works fine with the same ssl connection.</p>

<p>Anyone knows how I can overcome this SSL handshake issue? Do I need to set up a separate certificat chain for QGIS server? I hope not ...</p>

<p>Thanks for any hints,</p>

<p>Andreas</p>

<div> </div>

</div>

</div>

<div class="gmail-m_133204016840575299pre" style="margin: 0px; padding: 0px; font-family: monospace;">______________________________<wbr />_________________<br /> Qgis-developer mailing list<br /><a href="mailto:Qgis-developer@lists.osgeo.org">Qgis-developer@lists.osgeo.org</a><br /> List info: <a href="https://lists.osgeo.org/mailman/listinfo/qgis-developer">https://lists.osgeo.org/<wbr />mailman/listinfo/qgis-<wbr />developer</a><br /> Unsubscribe: <a href="https://lists.osgeo.org/mailman/listinfo/qgis-developer">https://lists.osgeo.org/<wbr />mailman/listinfo/qgis-<wbr />developer</a></div>

</blockquote>

<p> </p>

<div> </div>

</div>

<br />______________________________<wbr />_________________<br /> Qgis-developer mailing list<br /><a href="mailto:Qgis-developer@lists.osgeo.org">Qgis-developer@lists.osgeo.org</a><br /> List info: <a href="https://lists.osgeo.org/mailman/listinfo/qgis-developer">https://lists.osgeo.org/<wbr />mailman/listinfo/qgis-<wbr />developer</a><br /> Unsubscribe: <a href="https://lists.osgeo.org/mailman/listinfo/qgis-developer">https://lists.osgeo.org/<wbr />mailman/listinfo/qgis-<wbr />developer</a></blockquote>

</div>

</div>

</div>

</blockquote>

<p> </p>

<div> </div>

</body></html>