Lexa Software: Nginx-ru@sysoev.ru archive

ПРОЕКТЫ

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: тонкая настройка провер ки ssl сертификатов

To: nginx-ru@xxxxxxxxx
Subject: Re: тонкая настройка провер ки ssl сертификатов
From: Илья Шипицин <chipitsine@xxxxxxxxx>
Date: Thu, 23 Jun 2011 12:23:42 +0600
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:in-reply-to:references:date :message-id:subject:from:to:content-type; bh=f/GtqjhTz5bVNgVuo2v5Ec00PB5Ihq6i1XgO8wwNHkw=; b=M4f70zdzsOBw4XnMBoz8f85FLeRYADOzaURV3snHHsGbsYvbfpZPgKc11gWpQUQ4j5 DdAfTTjNZ/431HvqdYvxAkVAI0/P179SRCLjPQ2Su04o7JX0H2J4XSq1kfkkmiNVhU6p 2GQarLcZDVYDa1gjI1REvpdBcxA+HHOQTVd6Q=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; b=QCfcpS0YKUYFNg54uiqUl4bOG5MmNYNdFPmOC4O1MSpcGd0v4OJ9Y4MdMuzaW6coKH 2u/zWCaHN7lIpJ2QH4wYvVW/rvs4mhQdExjUFwjMOdhiU3gWVqzEdnKK3VF/2DYcUlLY Ar7GLp5vh1UITMxONpI0VPRb0n3YjF72felXc=
In-reply-to: <BANLkTi=SQ7t4xVDCn=3A1Q11-LwAamwrpw@xxxxxxxxxxxxxx>
References: <BANLkTi=SQ7t4xVDCn=3A1Q11-LwAamwrpw@xxxxxxxxxxxxxx>

разобрался ))

проблема решается через

error_page 495 = @go;

23 июня 2011 г. 11:49 пользователь Илья Шипицин <chipitsine@xxxxxxxxx> написал:

Добрый день!

хочется реализовать такую логику:

1) если у пользователя сертификата нет - ок, пускаем его так
2) если сертификат предъявил (раз сервер его спрашивает), то независимо от того, можем мы его проверить или нет - пускаем (но фиксируем успешность проверки в nginx-овых переменных)

я так понимаю, что с ssl_verify_client on/off я пролетаю и надо смотреть в сторону ssl_verify_client optional ?

в этом случае всё почти так, как я хочу, но если клиентский сертификат проверить не удалось (допустим, он выдан каким-то УЦ для клиент-банка, которого у меня сроду нет), то я получаю 400-ю ошибку.

дальше по логике надо бы эту ошибку перехватить и тупо пробросить на прокси, но почему-то следующая конструкция в данном случае не работает:

error_page 400 @go;

location @go {
access_log off;

как-то можно выкрутиться из этой ситуации ?

Илья Шипицин

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

References:
- тонкая настройка проверки ssl сертификатов
  - From: Илья Шипицин

Prev by Date: syslog module: daemon вместо local7
Next by Date: Re: встроенный Perl vs fastcgi [offtop ic]
Previous by thread: тонкая настройка проверки ssl сертификатов
Next by thread: syslog module: daemon вместо local7
Index(es):
- Date
- Thread

Copyright © Lexa Software, 1996-2009.