ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx 0.8.33 с OpenSSL 0.9.8m, провер ка клиентских сертифика тов.


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: nginx 0.8.33 с OpenSSL 0.9.8m, провер ка клиентских сертифика тов.
  • From: Yuriy Taraday <yorik.sar@xxxxxxxxx>
  • Date: Thu, 4 Mar 2010 15:55:23 +0300
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :from:date:message-id:subject:to:content-type :content-transfer-encoding; bh=KBpeipCUzKM5UZBPJ+dt4R0fSTwCSGwtDbvzwjk3Y1Y=; b=OQbCHSsa8qhw5HC59W9SLu5gp7sI4hsgoRkciKsWp0tcbe/OowlNHSYcE1iOk+PPto mJqmiGxExCRtWMwim3HEtkRxet3bYt7IltT9PtA6nRZd+uI7p8GGUa6cFYUxHYOsdI4P r2x6KfoyayGPi9glDJPqxkn173ZZHTkRbR2QU=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:from:date:message-id:subject:to :content-type:content-transfer-encoding; b=VsE+gfYPvXzrwFXcQWuzkKaAlEHv87AJ7Fcso1DaShGybkqILfQkX6bqFfCWT7bPtJ Eur/IwRLk1QBcU9xTPwhesu5rJZaTmceo5D8nr+6XlOg9CAMLfuz13s8vbkmhmhyQrdR yQal+R38YN5GjPutKZNyYzFmT38/qd6iA7d8E=
  • In-reply-to: <20100304122035.GB1242@xxxxxxxxxxxxx>
  • References: <1c0b9d251003040255q42ddc09t288d083cb33fceee@xxxxxxxxxxxxxx> <20100304122035.GB1242@xxxxxxxxxxxxx>

2010/3/4 Igor Sysoev <igor@xxxxxxxxx>:
> On Thu, Mar 04, 2010 at 01:55:21PM +0300, Yuriy Taraday wrote:
>
>> Добрый день.
>>
>> Система - FreeBSD 7.2, nginx 0.8.33 и OpenSSL 0.9.8m - из портов.
>> Конфиг nginx (только строчки, касающиеся ssl):
>>         ssl  on;
>>         ssl_certificate      root_ca_zone/server.cert.pem;
>>         ssl_certificate_key  root_ca_zone/server.key.pem.unencrypted;
>>
>>         ssl_session_cache builtin;
>>         ssl_session_timeout  3h;
>>
>>         ssl_client_certificate server.chain.pem;
>>         ssl_verify_client optional;
>>         #ssl_verify_depth 2;
>>
>>         ssl_protocols  TLSv1;
>>         ssl_ciphers  
>> ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>>         ssl_prefer_server_ciphers   on;
>>
>> В server.chain.pem - 2 сертификата, корневой и промежуточный.
>> Серверный и клиентский сертификаты выписаны промежуточным CA.
>>
>> Проверка сертификата с таким конфигом проходит успешно с OpenSSL
>> 0.9.8l и неуспешно с OpenSSL 0.9.8m, если же убрать комментарий от
>> ssl_verify_depth, работает и в 0.9.8m.
>> По логам, nginx не уходит глубже depth=1 с новой версией OpenSSL.
>>
>> Судя по всему, это связано со следующим новшеством 0.9.8m:
>>   *) Fix the server certificate chain building code to use 
>> X509_verify_cert(),
>>      it used to have an ad-hoc builder which was unable to cope with anything
>>      other than a simple chain.
>>      [David Woodhouse <dwmw2@xxxxxxxxxxxxx>, Steve Henson]
>>
>> Ожидаемо ли такое изменение в поведении? Так и должно быть?
>
> А что в error_log на уровне info ?
>

2010/03/04 13:15:29 [info] 67130#0: *1 client SSL certificate verify
error: (27:certificate not trusted) while reading client request
headers, client: 192.168.245.16, server: serv, request: "POST /sec/
HTTP/1.1", host: "serv:8443"

>
> --
> Игорь Сысоев
> http://sysoev.ru
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://nginx.org/mailman/listinfo/nginx-ru
>
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.