внимание на ошибку в файле.:) До этого ни апач, ни nginx на такое не
ругался.
2006/08/08 17:56:34 [emerg] 885#0:
SSL_CTX_use_certificate_chain_file("/etc/ssl/www.host.name.crt") failed
(SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line)
2006/08/08 17:56:34 [emerg] 885#0: the configuration file
/usr/local/etc/nginx/nginx.conf test failed
Файл, указанный в сообщении, реально есть. При его убирании появляется
ругань на отсутствие файла. Возможно, имеющийся в конфиге серверный
Упонимается ли "/etc/ssl/www.host.name.crt" где-то в конфигах ?
Какое сообщение выдаётся, если файл убрать ?
Уфф, методом последовательного урезания конфигов разобрался с руганью ssl
библиотек. Оказывается, побочным эффектом от внесенных данным патчем
поправок по работе с сертификатами стала физическая невозможность повесить на
1 IP два (и более) разных сертификата. До этого у меня достаточно долго в
тестовом конфиге жило две секции server на одном IP с указанием своих
сертификатов и никто ни на что не ругался. Сейчас так сделать не получается.
После того, как оставил только одну секцию - сервер заработал.
На самом деле ошибка появляется, если описан второй HTTPS сервер,
независимо от того, на одном они адресе или на разных. Буду смотреть.
Авторизация firefox с двумя одновременно установленными сертификатами клиента
- тоже заработала. Пристально не смотрел, но по крайней мере пускает на два
разных хоста без вопросов. С большим количеством сертификатов - пока не
проверял. У IE с этим проще потому, что на стадии отправки клиентского
сертификата он выкидывает окошко, в котором спрашивает "Какой из сертификатов
будем отправлять". Потому там и пять сертификатов будут незаметны снаружи. По
идее - это недоработка firefox-а в части отдачи излишней информации клиента
наружу.
Нет, это была ошикба в nginx'е - он не передавал клиенту интересующий
сертификат, поэтому firefox предлагал первый более или менее подходящий.
На самом деле, у firefox'а есть настройка - выбирать автоматичски или
спрашивать.
Игорь Сысоев
