ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

тонкая настройка проверки ssl сертификатов


  • To: nginx-ru@xxxxxxxxx
  • Subject: тонкая настройка проверки ssl сертификатов
  • From: Илья Шипицин <chipitsine@xxxxxxxxx>
  • Date: Thu, 23 Jun 2011 11:49:01 +0600
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:date:message-id:subject:from:to :content-type; bh=lARyxp7eYNrSPavEhKS3xodfigpgfUX5oxc6OExPBMw=; b=Qcbr4sjbgxE35yBJlXQ/8p83ZxRz6NsmyX5PB3SH9BUMpP3JMUbfmvrS8glLzNJJSQ XmivTkHekY0Po3L1pEEHxqG0O07Y97hUE1JwSXW7gM2SHSUbiG95g5JYNiqFFYhdJAd/ V+KXLJjEZUW/1yUTLR0tqe05q/kJUgl86ePxg=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:date:message-id:subject:from:to:content-type; b=AYuTVNYcEIt+adljmk0f9prVhOqygG52KybD8pD8VEfvUytGZG1xYLuTvBl1Pwx1uA IsKmaEuJdx7Tk3mdC4Xy0xEwFKaFiw/D5XoZuzjZ7mgx2mgC1Hr1Te6oc/ViDYhqKJn0 rfhMNqDacvn5tvUluKSoLhM0wk5HyBL5IxwDo=

Добрый день!

хочется реализовать такую логику:

1) если у пользователя сертификата нет - ок, пускаем его так
2) если сертификат предъявил (раз сервер его спрашивает), то независимо от того, можем мы его проверить или нет - пускаем (но фиксируем успешность проверки в nginx-овых переменных)

я так понимаю, что с ssl_verify_client on/off я пролетаю и надо смотреть в сторону ssl_verify_client optional ?

в этом случае всё почти так, как я хочу, но если клиентский сертификат проверить не удалось (допустим, он выдан каким-то УЦ для клиент-банка, которого у меня сроду нет), то я получаю 400-ю ошибку.

дальше по логике надо бы эту ошибку перехватить и тупо пробросить на прокси, но почему-то следующая конструкция в данном случае не работает:

error_page 400 @go;

        location @go {
            access_log off;

как-то можно выкрутиться из этой ситуации ?

Илья Шипицин

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.