Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: nginx 0.8.33 с OpenSSL 0.9.8m, провер ка клиентских сертифика тов.
- To: nginx-ru@xxxxxxxxx
- Subject: Re: nginx 0.8.33 с OpenSSL 0.9.8m, провер ка клиентских сертифика тов.
- From: Yuriy Taraday <yorik.sar@xxxxxxxxx>
- Date: Thu, 4 Mar 2010 15:55:23 +0300
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :from:date:message-id:subject:to:content-type :content-transfer-encoding; bh=KBpeipCUzKM5UZBPJ+dt4R0fSTwCSGwtDbvzwjk3Y1Y=; b=OQbCHSsa8qhw5HC59W9SLu5gp7sI4hsgoRkciKsWp0tcbe/OowlNHSYcE1iOk+PPto mJqmiGxExCRtWMwim3HEtkRxet3bYt7IltT9PtA6nRZd+uI7p8GGUa6cFYUxHYOsdI4P r2x6KfoyayGPi9glDJPqxkn173ZZHTkRbR2QU=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:from:date:message-id:subject:to :content-type:content-transfer-encoding; b=VsE+gfYPvXzrwFXcQWuzkKaAlEHv87AJ7Fcso1DaShGybkqILfQkX6bqFfCWT7bPtJ Eur/IwRLk1QBcU9xTPwhesu5rJZaTmceo5D8nr+6XlOg9CAMLfuz13s8vbkmhmhyQrdR yQal+R38YN5GjPutKZNyYzFmT38/qd6iA7d8E=
- In-reply-to: <20100304122035.GB1242@xxxxxxxxxxxxx>
- References: <1c0b9d251003040255q42ddc09t288d083cb33fceee@xxxxxxxxxxxxxx> <20100304122035.GB1242@xxxxxxxxxxxxx>
2010/3/4 Igor Sysoev <igor@xxxxxxxxx>:
> On Thu, Mar 04, 2010 at 01:55:21PM +0300, Yuriy Taraday wrote:
>
>> Добрый день.
>>
>> Система - FreeBSD 7.2, nginx 0.8.33 и OpenSSL 0.9.8m - из портов.
>> Конфиг nginx (только строчки, касающиеся ssl):
>> ssl on;
>> ssl_certificate root_ca_zone/server.cert.pem;
>> ssl_certificate_key root_ca_zone/server.key.pem.unencrypted;
>>
>> ssl_session_cache builtin;
>> ssl_session_timeout 3h;
>>
>> ssl_client_certificate server.chain.pem;
>> ssl_verify_client optional;
>> #ssl_verify_depth 2;
>>
>> ssl_protocols TLSv1;
>> ssl_ciphers
>> ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>> ssl_prefer_server_ciphers on;
>>
>> В server.chain.pem - 2 сертификата, корневой и промежуточный.
>> Серверный и клиентский сертификаты выписаны промежуточным CA.
>>
>> Проверка сертификата с таким конфигом проходит успешно с OpenSSL
>> 0.9.8l и неуспешно с OpenSSL 0.9.8m, если же убрать комментарий от
>> ssl_verify_depth, работает и в 0.9.8m.
>> По логам, nginx не уходит глубже depth=1 с новой версией OpenSSL.
>>
>> Судя по всему, это связано со следующим новшеством 0.9.8m:
>> *) Fix the server certificate chain building code to use
>> X509_verify_cert(),
>> it used to have an ad-hoc builder which was unable to cope with anything
>> other than a simple chain.
>> [David Woodhouse <dwmw2@xxxxxxxxxxxxx>, Steve Henson]
>>
>> Ожидаемо ли такое изменение в поведении? Так и должно быть?
>
> А что в error_log на уровне info ?
>
2010/03/04 13:15:29 [info] 67130#0: *1 client SSL certificate verify
error: (27:certificate not trusted) while reading client request
headers, client: 192.168.245.16, server: serv, request: "POST /sec/
HTTP/1.1", host: "serv:8443"
>
> --
> Игорь Сысоев
> http://sysoev.ru
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://nginx.org/mailman/listinfo/nginx-ru
>
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
|
