Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
SSL и проверка клиентских сертификатов
- To: nginx-ru@xxxxxxxxx
- Subject: SSL и проверка клиентских сертификатов
- From: hatred <adrozdoff@xxxxxxxxx>
- Date: Wed, 29 Oct 2008 11:40:19 +1000
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:to :subject:mime-version:content-type:content-transfer-encoding :content-disposition; bh=oceOEnrO1N406AdbI3bIh12dz6SGccrX7Fh6Oilu0NY=; b=xVlQKGmsDZfOJchF0bfOOmzbfGEffPc+hGijAtQU5PSEViKRwjIxhbCmueGf6bsyzq fwbfcRp7c6DwRq/27zNRDjywXM/3OTaklvE5ofcx0jmT3/4LFzg9Wp4K1H01wVwXftcK w0bz/fKJdTX/nC7q2LakLhyEga1QW3tkN/G4w=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:to:subject:mime-version:content-type :content-transfer-encoding:content-disposition; b=pY7QO4kTZWqiF+OgezXlHOcpU/LH7E6pL1oXYgaYANCn4kSJXQFDArAvD2KIgWhqvN 9qHO2Jtg40aci5CBW/43JhQ04SDOmz/vSuddXKSOVho3XKnq6aX+hR5b/1FZael5ZqbQ 4Xh9ds7VP9Lb0UlFL/zvg50q7cJNN5VRvwXoI=
Доброго времени суток,
при настройке сабжевой связки возникла проблема: nginx отвечает:
The SSL certificate error
Версия nginx 0.7.19
В логах (с опцией debug):
2008/10/29 11:15:03 [alert] 8533#0: *6 ignoring stale global SSL error
(SSL: error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown
message digest algorithm) while SSL han
dshaking, client: 192.168.127.10, server: localhost
2008/10/29 11:15:03 [info] 8533#0: *6 client SSL certificate verify
error: (7:certificate signature failure) while reading client request
headers, client: 192.168.127.10, server:
localhost, request: "GET / HTTP/1.1", host: "192.168.2.22:443"
Насколько я понял, не может определить алгоритм подписи, но для
сертификата вроде ничего сверхестественного не указывал.
Конфигурация ssl (остальное дефолтный конфиг из тарбола с исходниками):
----- cut -----
# HTTPS server
#
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate 192.168.2.22.pem;
ssl_certificate_key 192.168.2.22.pem;
ssl_client_certificate TestCA.pem;
ssl_verify_client on;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers off;
location / {
root html;
index index.html index.htm;
}
}
----- cut -----
Сами сертификаты сделаны с помощью программы xca
(http://xca.hohnstaedt.de/, юзает OpenSSL)
заранее спасибо за ответ.
PS если каких-то данных не хватает, укажите - предоставлю :)
|
