Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: nginx-0.7.62 и ssl
- To: nginx-ru@xxxxxxxxx
- Subject: Re: nginx-0.7.62 и ssl
- From: Володимир Костирко <c.kworr@xxxxxxxxx>
- Date: Thu, 17 Sep 2009 09:53:47 +0300
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from :user-agent:mime-version:to:subject:references:in-reply-to :content-type:content-transfer-encoding; bh=E5uQZc/sEcc4LwhZzC6TaqJyRpI6f1W82EGu8pnpe/E=; b=xS5ST1fPeBg915DrLaRksz+kZv4I+IsY5Ln/u97e5o7Bc71bdiKf1Pk+AW9j1O4aZR KLjSgAvXkOYVO0kkQd9kV2ypnvc8W2uCX/eYOcp1AF60FXvJK9W8s8kC2WToeM+ExKu3 O8xi0UKRlgpjRLitNM1TlhKii1dhQnsbBUWJE=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:user-agent:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; b=gRKMYw9hZORqYeOYrQ+u00Lr/lH3a3Pmed/i5zLdi58hpAdclpZzbjN9SsIt1V4wxy XUxPVBJY+EM6JhicO/IVeGMfdeqw+Ou4LmdVeZlYyuCayjdh9YVuWYxtaVj1a3BY8qj7 YZI1wfat2ffUxcISq4fuXSWHpyGopi7e/WxPI=
- In-reply-to: <20090917052152.GE41150@xxxxxxxxxxxxx>
- References: <h8sg7u$t5j$1@xxxxxxxxxxxxx> <20090917052152.GE41150@xxxxxxxxxxxxx>
Igor Sysoev написав(ла):
# nginx -t
[emerg]: SSL_CTX_set_tlsext_servername_callback() failed (SSL:)
configuration file /usr/local/etc/nginx/nginx.conf test failed
Кусок конфига:
ssl on;
ssl_protocols SSLv3 TLSv1;
ssl_prefer_server_ciphers on;
ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
ssl_certificate /var/ca/xim.bz/wiki,bugs.cert;
ssl_certificate_key /var/ca/xim.bz/wiki,bugs.pk;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
Срубается на строке ssl_certificate, сертификат с парой санов, сабжект
тоже присутствует.
Патч, после которого nginx будет только выдавать предупрждение.
Какая OS, как ставился nginx - из бинарного пакета или собирался на этой
же машине ?
FreeBSD 7.2-p3, порты, bundled ssl. Сертификат генерился им же.
Вообще там немного странно, bundled ssl точно tlsext умеет, но не в том
наборе в каком он появился в openssl. Рапортует он естественно более
старую версию, а tlsext был воткнут в мир бэкпортом.
PS: Чуть не забыл, по-моему там как-раз для проверки сертификатов не
хватало опции для указывания какой именно сан мы проверяем.
--
Sphinx of black quartz judge my vow.
|