Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Fwd: Авторизация с помощью SSL
- To: nginx-ru@xxxxxxxxx
- Subject: Re: Fwd: Авторизация с помощью SSL
- From: Maxim Dounin <mdounin@xxxxxxxxxx>
- Date: Mon, 23 Sep 2013 17:13:46 +0400
- In-reply-to: <CAK6srhDt05uYg0PUw1rg0g_CbTDeubH4=wq4fXPtXSRT6i-8-Q@mail.gmail.com>
- References: <CAK6srhAyZsPWEy6=+QBW9PZAWo2DdgQez2+Td05D13OS_BvzBA@mail.gmail.com> <CAK6srhDt05uYg0PUw1rg0g_CbTDeubH4=wq4fXPtXSRT6i-8-Q@mail.gmail.com>
Hello!
On Sun, Sep 22, 2013 at 06:47:26PM +0000, Андрей Тищенко wrote:
> Здравствуйте.
> Пытаюсь реализовать авторизацию с помощью SSL сертификатов, но получаю
> ошибку:
> 400 Bad Request
> The SSL certificate error
>
> Схема подписи:
> CA -> Промежуточный CA -> клиентский сертификат.
> Насколько я понял, проблема именно в том, что клиентский сертификат
> подписан промежуточным центром сертификации, а не корневым (при подписи
> корневым все было нормальноe).
>
> server {
> listen 456;
> ssl on;
> ssl_certificate /var/www/client/data/www/client.ru/ssl/ca.crt;
> ssl_certificate_key /var/www/client/data/www/client.ru/ssl/ca.key;
> ssl_client_certificate /var/www/client/data/www/client.ru/ssl/pca.crt;
> ssl_verify_client optional;
>
> ...
> }
Как минимум, в конфиге не видно директивы ssl_verify_depth,
которая по умолчанию 1 - и цепочки сертификатов работать не будут.
Подробнее - http://nginx.org/r/ssl_verify_depth.
Ну и как уже отметили, сертификат промежуточного CA следует
положить в файл, на который указывает директива
ssl_client_certificate (или ssl_trusted_certificate). Т.к.
клиентов, присылающих цепочку сертификатов, скорее всего не
бывает.
А вообще - не забывайте заглядывать в error_log, там обычно есть
подробности.
--
Maxim Dounin
http://nginx.org/en/donation.html
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|