ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Fwd: Авторизация с помощью SSL


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: Fwd: Авторизация с помощью SSL
  • From: Alex Domoradov <alex.hha@xxxxxxxxx>
  • Date: Tue, 24 Sep 2013 10:53:36 +0300
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; bh=BQt7hAylTZ2elis1buM4pnnIkfFStNUG9W0izx/uwN8=; b=yWnB2NQMyZa/LNMEyoPuxhlVwmQa7FuM+T95ATshHb+Y/G4wbwQYeYuG4XN7EFYBCE D1oOCMhKlWTRv+Vtk4nXlVTCDJEwYX3ao7vpY0If8YDNCUwJZH/WfqYIEjAs1ntF1/5C RkcIFnf3urvF8fRBPwxPVPa03NU//4EUJM9I0c5G/3iZimv9A1M+wpyL2k4u6ccHqe9K 2aNptjynwZ0qpuQrj+Q5oERK3zrQf2BLBkB+ddSQq6YUU56BaPAwKI7LR3COEsFMi48W X1f/NfJi5XscOvJS7mTLyR9P3tOPcVcghrl+m2w9cpuI3awQrAcIHrCSc4flGKMatkSv 5IMQ==
  • In-reply-to: <20130923131345.GE2170@mdounin.ru>
  • References: <CAK6srhAyZsPWEy6=+QBW9PZAWo2DdgQez2+Td05D13OS_BvzBA@mail.gmail.com> <CAK6srhDt05uYg0PUw1rg0g_CbTDeubH4=wq4fXPtXSRT6i-8-Q@mail.gmail.com> <20130923131345.GE2170@mdounin.ru>

> Как минимум, в конфиге не видно директивы ssl_verify_depth, которая по 
> умолчанию 1 - и цепочки сертификатов работать не будут.
а как можно определить необходимую глубину проверки?

2013/9/23 Maxim Dounin <mdounin@xxxxxxxxxx>:
> Hello!
>
> On Sun, Sep 22, 2013 at 06:47:26PM +0000, Андрей Тищенко wrote:
>
>> Здравствуйте.
>> Пытаюсь реализовать авторизацию с помощью SSL сертификатов, но получаю
>> ошибку:
>> 400 Bad Request
>> The SSL certificate error
>>
>> Схема подписи:
>> CA -> Промежуточный CA -> клиентский сертификат.
>> Насколько я понял, проблема именно в том, что клиентский сертификат
>> подписан промежуточным центром сертификации, а не корневым (при подписи
>> корневым все было нормальноe).
>>
>> server {
>>   listen 456;
>>   ssl on;
>>   ssl_certificate /var/www/client/data/www/client.ru/ssl/ca.crt;
>>   ssl_certificate_key /var/www/client/data/www/client.ru/ssl/ca.key;
>>   ssl_client_certificate /var/www/client/data/www/client.ru/ssl/pca.crt;
>>   ssl_verify_client optional;
>>
>> ...
>> }
>
> Как минимум, в конфиге не видно директивы ssl_verify_depth,
> которая по умолчанию 1 - и цепочки сертификатов работать не будут.
> Подробнее - http://nginx.org/r/ssl_verify_depth.
>
> Ну и как уже отметили, сертификат промежуточного CA следует
> положить в файл, на который указывает директива
> ssl_client_certificate (или ssl_trusted_certificate).  Т.к.
> клиентов, присылающих цепочку сертификатов, скорее всего не
> бывает.
>
> А вообще - не забывайте заглядывать в error_log, там обычно есть
> подробности.
>
> --
> Maxim Dounin
> http://nginx.org/en/donation.html
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.