Re: nginx 0.8.33 с OpenSSL 0.9.8m, проверка клиентских сертификатов.

Igor Sysoev igor на sysoev.ru
Чт Мар 4 15:20:35 MSK 2010


On Thu, Mar 04, 2010 at 01:55:21PM +0300, Yuriy Taraday wrote:

> Добрый день.
> 
> Система - FreeBSD 7.2, nginx 0.8.33 и OpenSSL 0.9.8m - из портов.
> Конфиг nginx (только строчки, касающиеся ssl):
>         ssl  on;
>         ssl_certificate      root_ca_zone/server.cert.pem;
>         ssl_certificate_key  root_ca_zone/server.key.pem.unencrypted;
> 
>         ssl_session_cache builtin;
>         ssl_session_timeout  3h;
> 
>         ssl_client_certificate server.chain.pem;
>         ssl_verify_client optional;
>         #ssl_verify_depth 2;
> 
>         ssl_protocols  TLSv1;
>         ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>         ssl_prefer_server_ciphers   on;
> 
> В server.chain.pem - 2 сертификата, корневой и промежуточный.
> Серверный и клиентский сертификаты выписаны промежуточным CA.
> 
> Проверка сертификата с таким конфигом проходит успешно с OpenSSL
> 0.9.8l и неуспешно с OpenSSL 0.9.8m, если же убрать комментарий от
> ssl_verify_depth, работает и в 0.9.8m.
> По логам, nginx не уходит глубже depth=1 с новой версией OpenSSL.
> 
> Судя по всему, это связано со следующим новшеством 0.9.8m:
>   *) Fix the server certificate chain building code to use X509_verify_cert(),
>      it used to have an ad-hoc builder which was unable to cope with anything
>      other than a simple chain.
>      [David Woodhouse <dwmw2 at infradead.org>, Steve Henson]
> 
> Ожидаемо ли такое изменение в поведении? Так и должно быть?

А что в error_log на уровне info ?


-- 
Игорь Сысоев
http://sysoev.ru



Подробная информация о списке рассылки nginx-ru