ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: ssl_crl 3:unable to get certificate CRL



Hello!

On Tue, Nov 01, 2011 at 09:34:03PM +0200, Алексей Бобок wrote:

> Приветствую.
> Имею аналогичную проблему как здесь
> http://forum.nginx.org/read.php?21,6417,175050
> 
> server {
> ...
>         ssl                  on;
>         ssl_certificate      /usr/local/etc/nginx/certs/api.srv.biz.crt;
>         ssl_certificate_key  /usr/local/etc/nginx/certs/api.srv.biz.key;
> 
>         ssl_session_timeout  5m;
>         ssl_session_cache  shared:SSL:10m;
>         ssl_protocols TLSv1;
>         ssl_ciphers  
> ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>         ssl_prefer_server_ciphers   on;
>         ssl_verify_client on;
>         ssl_client_certificate /usr/local/etc/nginx/certs/capem.crt;
> 
> ...
> }
> 
> все работало.
> 
> После того, как включил в секции http{
> ssl_crl /usr/local/etc/nginx/certs/crl.pem;
> }
> 
> стало выдавать:
> 
> 400 Bad Request
> The SSL certificate error
> nginx/1.0.3
> 
> а в логе:
> 2011/11/01 21:27:02 [info] 1287#0: *1741 client SSL certificate verify
> error: (3:unable to get certificate CRL) while reading client request
> headers, client: 89.*.*.99, server: api.srv.biz, request: "GET /
> HTTP/1.1", host: "api.srv.biz"
> 
> CRL список, указанный в пользовательском сертификате - доступен. Он же
> подгружается самой опцией ssl_crl.
> внутри файла такое:
> st1# openssl crl -text -in /usr/local/etc/nginx/certs/crl.pem
> Certificate Revocation List (CRL):
>         Version 2 (0x1)
>         Signature Algorithm: sha256WithRSAEncryption
>         Issuer: /C=UA/CN=ca.srv.biz

Возвращённая ошибка предполагает, что не найден crl для одного из 
сертификатов в цепочке.  Клиентский сертификат выдан 
"/C=UA/CN=ca.srv.biz", а тот в свою очередь - self-signed?

Maxim Dounin

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.