Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: ssl verify client на виртуальны х хостах
Hello!
On Wed, Nov 03, 2010 at 05:38:53PM -0400, kds wrote:
> Здравствуйте!
>
> Подскажите, пожалуйста, как побороть
> следующую проблему:
> на сервере 2 виртуальных хоста, оба
> работают по https с одним и тем же
> сертификатом. На одном из серверов
> должно производиться проверка
> клиентских сертификатов, на другом -
> нет (соответственно, на первом
> ssl_verify_client стоит on, на втором - off).
>
> Все работает прекрасно, кроме случая,
> когда в браузере установлен какой-либо
> личный сертификат (даже никак с моими
> ключами не связанный) - на втором сайте
> он каждый раз спрашивает: какой
> сертификат связать? Если нажать отмену
> или выбрать что попало - все работает,
> но запрос постоянно (при каждом новой
> заходе) вылезает. Если на первом сайте
> отключить клиентские сертификаты - все
> ок, никаких запросов нет.
>
> Подскажите, как можно решить такую
> задачку.
Запрос на клиентский сертификат отсылается при установлении
соединения. Соответственно если на одном ip-адресе 2 ssl-сервера,
и в одном из них включён ssl_verify_client - будет запрос.
Решение - разносить на разные ip-адреса или использовать SNI (если
есть возможность ограничиться "правильными" браузерами).
Maxim Dounin
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
|