ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: ssl client again



On Wed, 9 Aug 2006, Igor Sysoev wrote:

On Tue, 8 Aug 2006, Andrey Y. Ostanovsky wrote:

Igor Sysoev wrote:
внимание на ошибку в файле.:) До этого ни апач, ни nginx на такое не
ругался.

2006/08/08 17:56:34 [emerg] 885#0:
SSL_CTX_use_certificate_chain_file("/etc/ssl/www.host.name.crt") failed
(SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line)
2006/08/08 17:56:34 [emerg] 885#0: the configuration file
/usr/local/etc/nginx/nginx.conf test failed

Файл, указанный в сообщении, реально есть. При его убирании появляется
ругань на отсутствие файла. Возможно, имеющийся в конфиге серверный
Упонимается ли "/etc/ssl/www.host.name.crt" где-то в конфигах ?
Какое сообщение выдаётся, если файл убрать ?
Уфф, методом последовательного урезания конфигов разобрался с руганью ssl библиотек. Оказывается, побочным эффектом от внесенных данным патчем поправок по работе с сертификатами стала физическая невозможность повесить на 1 IP два (и более) разных сертификата. До этого у меня достаточно долго в тестовом конфиге жило две секции server на одном IP с указанием своих сертификатов и никто ни на что не ругался. Сейчас так сделать не получается. После того, как оставил только одну секцию - сервер заработал.

На самом деле ошибка появляется, если описан второй HTTPS сервер,
независимо от того, на одном они адресе или на разных. Буду смотреть.

Авторизация firefox с двумя одновременно установленными сертификатами клиента - тоже заработала. Пристально не смотрел, но по крайней мере пускает на два разных хоста без вопросов. С большим количеством сертификатов - пока не проверял. У IE с этим проще потому, что на стадии отправки клиентского сертификата он выкидывает окошко, в котором спрашивает "Какой из сертификатов будем отправлять". Потому там и пять сертификатов будут незаметны снаружи. По идее - это недоработка firefox-а в части отдачи излишней информации клиента наружу.

Нет, это была ошикба в nginx'е - он не передавал клиенту интересующий
сертификат, поэтому firefox предлагал первый более или менее подходящий.
На самом деле, у firefox'а есть настройка - выбирать автоматичски или
спрашивать.

Вернее, не "не передвал клиенту интересующий сертификат", а не передавал
subject'ы интересующих сертификатов.


Игорь Сысоев
http://sysoev.ru



 




Copyright © Lexa Software, 1996-2009.