Re: Вопрос по TLS и аутентификации

Илья Шипицин chipitsine на gmail.com
Пн Апр 3 03:30:12 UTC 2017 

добрый день!

у вас на сайте сказано, что это "электронное правительство алтайского края",
насколько я понимаю, как таковой ГОСТ мало кому интересен, интересно
сертифицированное решение. у того же Крипто про сертификаты есть, у nginx +
openssl + ГОСТ - нет, подскажите, как вы собираетесь решать этот вопрос ?

3 апреля 2017 г., 8:25 пользователь DemDA <nginx-forum на forum.nginx.org>
написал:

> Здравствуйте, уважаемые профи!
> Возник вопрос (точнее наверное два ).
> Подняли NGinx  для доступа к одному из защищаемых ресурсов. Сделал
> двустороннюю аутентификацию. Прикрутил ГОСТ. Все взлетело. НО... появилась
> проблема. Когда использую сертификаты, выданные собственным УЦ, где root CA
> самоподписаный - все нормально летает авторизуется... все гуд.  Беда в том,
> что для авторизации надо использовать сертификаты ЭП, выданные УЦ нашей
> вышестоящей организации, а там root CA подписан промежуточным сертификатом
> УЦ минкозвязи, который в подписан сертификатом головного УЦ минкомсвязи (он
> самоподписанный). В таком случае у клиента происходит запрос сертификата,
> причем список сертификатов правильный. НО после выбора сертификата ошибка
> 400 - и все. Пробовал catом слеплять сертификаты в разной
> последовательности, пробовал в ssl_trusted_certificate накидывать ....
> ничего. У клиента все сертфикаты установлены.
> Вот конфиг
> server {
> listen     443 ssl;
> server_name  tls.oepak22.ru;
> ssl_certificate      /etc/nginx/serts/server.crt;
> ssl_certificate_key  /etc/nginx/serts/server.key;
> large_client_header_buffers 4 16k;
> ssl_ciphers GOST2001-GOST89-GOST89:HIGH:MEDIUM;
> #ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
> ssl_protocols TLSv1;
> ssl_prefer_server_ciphers  on;
> ssl_client_certificate /etc/nginx/serts/ca1.crt;
> #ssl_client_certificate /etc/nginx/serts/xcc.crt;
> ssl_crl /etc/nginx/serts/crl.pem;
> ssl_verify_client on;
> keepalive_timeout 70;
> location / {
> root   /www/;
> index index.html;
>         }
>
> location /deloweb {
>  proxy_pass http://10.33.1.7/deloweb;
>         }
> PS. Оговорюсь сразу, что server.crt выдан как раз таки УЦ, который тестовый
> и самоподписанный root CA. Нет ли ничего в этом криминального, что
> сертификат сервера и сертификат клиентов выданы разными УЦ.
> И еще вопрос: возможно ли использовать одновременно несколько
> ssl_client_certificate? Актуально потому, что у нас в регионе несколько УЦ.
>
> Posted at Nginx Forum: https://forum.nginx.org/read.
> php?21,273305,273305#msg-273305
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20170403/c19cee3e/attachment.html>

Подробная информация о списке рассылки nginx-ru