Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent

To: nginx-ru@xxxxxxxxx
Subject: Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
From: Евгений 'Rush' Непомнящий <rush.zlo@xxxxxxxxx>
Date: Tue, 15 Mar 2011 17:15:22 +0300
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:in-reply-to:references:date :message-id:subject:from:to:content-type:content-transfer-encoding; bh=Ib0hHlFMnCGMzuEeCoTf3kkjNUFkWypSmM5r932ibD0=; b=m+l+IZO8q3jnf6AlharM66RtRujsAuY9I89xEX6Xt9RWQKErNZBKS8Q+cumoyemXxn yrQYEwNxspQQXdA2Yn7D7SuvQN6y78YcKz10/7I+9PiKhNDNgQVZc99JzoKT2zUzbjKu eQM27sPgbeQJCy9BcITZjB20dNhs3fKpWzelU=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=hec+/e2K82frWZqkmMaqQGY8pW1LjUoP+zoMIMp7UqGekn8wc8T2ITqkizwDe27pzH 2DHya5nLwWv0QgI/TN298K0LeX1ZzlJL2u/3l+EA6algZU2Lo/x5K1Ct//tcUwIo/9SL 0V6XU+3hoFdXNvrO9DQ86HsjO224b1uxjVFBE=
In-reply-to: <20110315131112.GE99496@xxxxxxxxxx>
References: <20110313135941.21e2d77b.korobkov@xxxxxxxxxxx> <AANLkTi=RsLsdzH3oJG8h8Zp1yx3G8fN0zcBjLnnrEtZ7@xxxxxxxxxxxxxx> <20110313225152.0d66d1f2.korobkov@xxxxxxxxxxx> <AANLkTim6bJiLhgKdAN0mjGsnV2CVrpcRnQQWbvZM8DJd@xxxxxxxxxxxxxx> <20110314131440.d90f588e.korobkov@xxxxxxxxxxx> <AANLkTimgURzv0GB=shEUsKW_m_DnGG=XJ_G+DhcXxWJ4@xxxxxxxxxxxxxx> <20110315152657.34470ec3.korobkov@xxxxxxxxxxx> <20110315131112.GE99496@xxxxxxxxxx>

Maxim Dounin как всегда чётко подметил то, к чему я только подобрался
:) Плюсуюсь, дело похоже именно в дефолте, который вы нам так и не
показали. SNI не использовать ни в коем случае, хотя и очень бы
хотелось играть с именами так же как без SSL...

15 марта 2011 г. 16:11 пользователь Maxim Dounin <mdounin@xxxxxxxxxx> написал:
> Hello!
>
> On Tue, Mar 15, 2011 at 03:26:57PM +0300, Андрей Коробков wrote:
>
>> On Tue, 15 Mar 2011 05:58:41 +0300
>> Евгений 'Rush' Непомнящий <rush.zlo@xxxxxxxxx> wrote:
>>
>> > Очень плохо, что вы так и не показали нам конфиг.
>> Я вовсе не хотел его скрывать, просто ждал приглашения
>> (подумал, что есть смысл выкладывать, только если кто-нибудь предложит 
>> помочь...) :)
>> Вот он:
>> http://pastebin.com/7qH1UKGk (онсновной конфиг)
>> http://pastebin.com/kwkdW1Sy (тестовый виртуальный хост)
>> http://pastebin.com/szNvxVY1 (сертификат CA)
>> http://pastebin.com/dRPmsR0G (сертификат сервера)
>> http://pastebin.com/fqpJPQYQ (тестовый сертификат)
>> http://pastebin.com/FPtswLN0 (тестовый ключ)
>>
>> http://pastebin.com/md8Q97v7 (лог wget)
>> http://pastebin.com/eGuVWgWt (лог curl)
>>
>> Можете сами попробовать: https://test.fryxell.ru/
>> Если получится зайти на сайт - там есть код подтверждения ;).
>>
>> >
>> > ssl_verify_client - что у вас ? по дефолту то off.
>> On. С off и optional всё нормально (сертификат не спрашивает у клиента).
>
> Сейчас директива ssl_verify_client должена быть указана в сервере,
> являющимся сервером по умолчанию для данного listen-сокета.  Или
> на уровне http (что в итоге даст то же самое за счёт наследования).
>
> У вас, судя по всему, в сервере по умолчанию для *:443
> ssl_verify_client не установлен в on.
>
> Если хочется, чтобы работало само в рамках SNI - следует применить
> патч[1].  Но только не забываем про то, что SNI можно использовать
> только если вы контроллируете браузеры клиентов, в реальном мире
> велик процент непонимающих SNI браузеров.
>
> [1] http://nginx.org/pipermail/nginx-devel/2011-February/000728.html
>
> Maxim Dounin
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://nginx.org/mailman/listinfo/nginx-ru
>



-- 
Cogitum ergo sum
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

References:
- ssl_verify_client и ошибка 400: Bad reque st. No required SSL certificate was sent
  - From: Андрей Коробков
- Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
  - From: -=HaRius=-
- Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
  - From: Андрей Коробков
- Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
  - From: Алексей Малов
- Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
  - From: Андрей Коробков
- Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
  - From: Евгений 'Rush' Непомнящий
- Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
  - From: Андрей Коробков
- Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
  - From: Maxim Dounin

Prev by Date: Re: rewrite в IE 6.0 работает неве рно
Next by Date: Re: виртуал хосты и rewrite
Previous by thread: Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
Next by thread: Re: ssl_verify_client и ошибка 400: Bad r equest. No required SSL certificate was sent
Index(es):
- Date
- Thread