Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: ssl client again

To: nginx-ru@xxxxxxxxx
Subject: Re: ssl client again
From: Igor Sysoev <is@xxxxxxxxxxxxx>
Date: Wed, 9 Aug 2006 00:05:11 +0400 (MSD)
In-reply-to: <20060808235534.D13233@xxxxxxxxxxxxxxxxxx>
References: <44D83BB7.2080806@xxxxxxxxxxxxxxxxx> <20060808112453.G10873@xxxxxxxxxxxxxxxxxx> <44D84846.90109@xxxxxxxxxxxxxxxxx> <20060808124740.I11352@xxxxxxxxxxxxxxxxxx> <44D8521B.40501@xxxxxxxxxxxxxxxxx> <20060808130348.Y11352@xxxxxxxxxxxxxxxxxx> <44D856D7.5030404@xxxxxxxxxxxxxxxxx> <20060808165456.F11352@xxxxxxxxxxxxxxxxxx> <44D89A23.8080308@xxxxxxxxxxxxxxxxx> <20060808182117.U11352@xxxxxxxxxxxxxxxxxx> <44D8C797.4030108@xxxxxxxxxxxxxxxxx> <20060808235534.D13233@xxxxxxxxxxxxxxxxxx>

On Wed, 9 Aug 2006, Igor Sysoev wrote:

On Tue, 8 Aug 2006, Andrey Y. Ostanovsky wrote:
Igor Sysoev wrote:
внимание на ошибку в файле.:) До этого ни апач, ни nginx на такое не
ругался.

2006/08/08 17:56:34 [emerg] 885#0:
SSL_CTX_use_certificate_chain_file("/etc/ssl/www.host.name.crt") failed
(SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line)
2006/08/08 17:56:34 [emerg] 885#0: the configuration file
/usr/local/etc/nginx/nginx.conf test failed

Файл, указанный в сообщении, реально есть. При его убирании появляется
ругань на отсутствие файла. Возможно, имеющийся в конфиге серверный
Упонимается ли "/etc/ssl/www.host.name.crt" где-то в конфигах ?
Какое сообщение выдаётся, если файл убрать ?
Уфф, методом последовательного урезания конфигов разобрался с руганью sslбиблиотек. Оказывается, побочным эффектом от внесенных данным патчемпоправок по работе с сертификатами стала физическая невозможность повеситьна 1 IP два (и более) разных сертификата. До этого у меня достаточно долгов тестовом конфиге жило две секции server на одном IP с указанием своихсертификатов и никто ни на что не ругался. Сейчас так сделать неполучается. После того, как оставил только одну секцию - сервер заработал.
На самом деле ошибка появляется, если описан второй HTTPS сервер,
независимо от того, на одном они адресе или на разных. Буду смотреть.
Авторизация firefox с двумя одновременно установленными сертификатамиклиента - тоже заработала. Пристально не смотрел, но по крайней мерепускает на два разных хоста без вопросов. С большим количествомсертификатов - пока не проверял. У IE с этим проще потому, что на стадииотправки клиентского сертификата он выкидывает окошко, в котором спрашивает"Какой из сертификатов будем отправлять". Потому там и пять сертификатовбудут незаметны снаружи. По идее - это недоработка firefox-а в части отдачиизлишней информации клиента наружу.
Нет, это была ошикба в nginx'е - он не передавал клиенту интересующий
сертификат, поэтому firefox предлагал первый более или менее подходящий.
На самом деле, у firefox'а есть настройка - выбирать автоматичски или
спрашивать.


Вернее, не "не передвал клиенту интересующий сертификат", а не передавал
subject'ы интересующих сертификатов.


Игорь Сысоев
http://sysoev.ru

References:
- ssl client again
  - From: Andrey Y. Ostanovsky
- Re: ssl client again
  - From: Igor Sysoev
- Re: ssl client again
  - From: Andrey Y. Ostanovsky
- Re: ssl client again
  - From: Igor Sysoev
- Re: ssl client again
  - From: Andrey Y. Ostanovsky
- Re: ssl client again
  - From: Igor Sysoev
- Re: ssl client again
  - From: Andrey Y. Ostanovsky
- Re: ssl client again
  - From: Igor Sysoev
- Re: ssl client again
  - From: Andrey Y. Ostanovsky
- Re: ssl client again
  - From: Igor Sysoev
- Re: ssl client again
  - From: Andrey Y. Ostanovsky
- Re: ssl client again
  - From: Igor Sysoev

Prev by Date: Re: ssl client again
Next by Date: Re: ssl client again
Previous by thread: Re: ssl client again
Next by thread: Re: ssl client again
Index(es):
- Date
- Thread