Re: ssl verify client на виртуальных хостах

Maxim Dounin mdounin на mdounin.ru
Чт Ноя 4 10:49:04 MSK 2010


Hello!

On Wed, Nov 03, 2010 at 05:38:53PM -0400, kds wrote:

> Здравствуйте!
> 
> Подскажите, пожалуйста, как побороть
> следующую проблему:
> на сервере 2 виртуальных хоста, оба
> работают по https с одним и тем же
> сертификатом. На одном из серверов
> должно производиться проверка
> клиентских сертификатов, на другом -
> нет (соответственно, на первом
> ssl_verify_client  стоит on, на втором - off). 
> 
> Все работает прекрасно, кроме случая,
> когда в браузере установлен какой-либо
> личный сертификат (даже никак с моими
> ключами не связанный) - на втором сайте
> он каждый раз спрашивает: какой
> сертификат связать? Если нажать отмену
> или выбрать что попало - все работает,
> но запрос постоянно (при каждом новой
> заходе) вылезает. Если на первом сайте
> отключить клиентские сертификаты - все
> ок, никаких запросов нет.
> 
> Подскажите, как можно решить такую
> задачку.

Запрос на клиентский сертификат отсылается при установлении 
соединения.  Соответственно если на одном ip-адресе 2 ssl-сервера, 
и в одном из них включён ssl_verify_client - будет запрос.

Решение - разносить на разные ip-адреса или использовать SNI (если 
есть возможность ограничиться "правильными" браузерами).  

Maxim Dounin



Подробная информация о списке рассылки nginx-ru