ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: тонкая настройка провер ки ssl сертификатов


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: тонкая настройка провер ки ssl сертификатов
  • From: Илья Шипицин <chipitsine@xxxxxxxxx>
  • Date: Thu, 23 Jun 2011 12:23:42 +0600
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:in-reply-to:references:date :message-id:subject:from:to:content-type; bh=f/GtqjhTz5bVNgVuo2v5Ec00PB5Ihq6i1XgO8wwNHkw=; b=M4f70zdzsOBw4XnMBoz8f85FLeRYADOzaURV3snHHsGbsYvbfpZPgKc11gWpQUQ4j5 DdAfTTjNZ/431HvqdYvxAkVAI0/P179SRCLjPQ2Su04o7JX0H2J4XSq1kfkkmiNVhU6p 2GQarLcZDVYDa1gjI1REvpdBcxA+HHOQTVd6Q=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; b=QCfcpS0YKUYFNg54uiqUl4bOG5MmNYNdFPmOC4O1MSpcGd0v4OJ9Y4MdMuzaW6coKH 2u/zWCaHN7lIpJ2QH4wYvVW/rvs4mhQdExjUFwjMOdhiU3gWVqzEdnKK3VF/2DYcUlLY Ar7GLp5vh1UITMxONpI0VPRb0n3YjF72felXc=
  • In-reply-to: <BANLkTi=SQ7t4xVDCn=3A1Q11-LwAamwrpw@xxxxxxxxxxxxxx>
  • References: <BANLkTi=SQ7t4xVDCn=3A1Q11-LwAamwrpw@xxxxxxxxxxxxxx>

разобрался ))

проблема решается через

error_page 495 = @go;

23 июня 2011 г. 11:49 пользователь Илья Шипицин <chipitsine@xxxxxxxxx> написал:
Добрый день!

хочется реализовать такую логику:

1) если у пользователя сертификата нет - ок, пускаем его так
2) если сертификат предъявил (раз сервер его спрашивает), то независимо от того, можем мы его проверить или нет - пускаем (но фиксируем успешность проверки в nginx-овых переменных)

я так понимаю, что с ssl_verify_client on/off я пролетаю и надо смотреть в сторону ssl_verify_client optional ?

в этом случае всё почти так, как я хочу, но если клиентский сертификат проверить не удалось (допустим, он выдан каким-то УЦ для клиент-банка, которого у меня сроду нет), то я получаю 400-ю ошибку.

дальше по логике надо бы эту ошибку перехватить и тупо пробросить на прокси, но почему-то следующая конструкция в данном случае не работает:

error_page 400 @go;

        location @go {
            access_log off;

как-то можно выкрутиться из этой ситуации ?

Илья Шипицин


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.