<div dir="ltr">My guess is that somehow the root cert used to validate clients isn't installed correctly, and so it's defaulting to basic auth.<div><br></div><div>At least that's my reading of this review <a href="https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/27270">https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/27270</a><br><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 23, 2020 at 9:47 AM Zhenfei Tai <<a href="mailto:ztai@google.com">ztai@google.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">I guess part of my question is how to configure the mTLS certs to make it work properly.<div><br></div><div>So far only https works (server side TLS).</div><div><br></div><div>Thanks,</div><div>Zhenfei</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 23, 2020 at 8:50 AM Joseph Reynolds <<a href="mailto:jrey@linux.ibm.com" target="_blank">jrey@linux.ibm.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 4/23/20 5:47 AM, P. K. Lee (李柏寬) wrote:<br>
> Hi,<br>
><br>
> I encountered the same issue when using Redfish to replace the certificate.<br>
> Regardless of whether the parameters include --cert --key --cacert or only --cacert, the authentication can still succeed.<br>
><br>
> Best,<br>
> P.K.<br>
><br>
>> Date: Wed, 22 Apr 2020 14:58:06 -0700<br>
>> From: Zhenfei Tai <<a href="mailto:ztai@google.com" target="_blank">ztai@google.com</a>><br>
>> To: <a href="mailto:openbmc@lists.ozlabs.org" target="_blank">openbmc@lists.ozlabs.org</a><br>
>> Subject: mTLS on bmcweb<br>
>> Message-ID:<br>
>>      <CAMXw96Pp511sUO=q1XLz2uJzh4S6D7tUwmkvpbnq_yU-iJfiKg@mail.g<br>
>> <a href="http://mail.com" rel="noreferrer" target="_blank">mail.com</a>><br>
>> Content-Type: text/plain; charset="utf-8"<br>
>><br>
>> Hi,<br>
>><br>
>> I'm trying out bmcweb mTLS which should be enabled by default by<br>
>> <a href="https://github.com/openbmc/bmcweb/blob/master/CMakeLists.txt#L89" rel="noreferrer" target="_blank">https://github.com/openbmc/bmcweb/blob/master/CMakeLists.txt#L89</a><br>
>><br>
>> In my test, I created a self signed key and certificate pair, stacked them<br>
>> up into server.pem in /etc/ssl/certs/https that bmcweb uses.<br>
>><br>
>> However when I tried to curl bmcweb service, I was able to get response by<br>
>> only supplying the cert.<br>
>><br>
>> curl --cacert cert.pem  https://${bmc}/redfish/v1<br>
>><br>
>> With the mTLS enabled, I expected it should error out since no client<br>
>> certificate is provided.<br>
>><br>
>> Could someone with relevant knowledge help with my question?<br>
<br>
I'm not sure what you are asking.  Are you asking how to install mTLS <br>
certs into the BMC and then use them to connect?  I am still waiting for <br>
documentation that describes how to configure and use the mTLS feature.<br>
<br>
I've added an entry to the security working group as a reminder to do <br>
this.  (I don't have the skill to document this feature.)<br>
<br>
- Joseph<br>
<br>
>><br>
>> Thanks,<br>
>> Zhenfei<br>
<br>
</blockquote></div>
</blockquote></div>