ssl renegotiation on nginx 1.13.+

Mike Patutin mpatutin на gmail.com
Пн Сен 18 16:53:34 UTC 2017


Сертификаты я запрашиваю. Бекенд в разумных пределах может быть допилен.
Моя проблема именно в железках, и именно в последовательности регистрации.
Железка генерирует свой запрос сертификата и делает PUT на сервер с первым
запросом, сервер ей генерирует  сертификат по запросу и отдает его назад в
ответе, после чего вызывает renegotiate.
После этого творится некая магия в мозгах железки, и она начинает
использовать свежий сертификат, полученный только что от сервера управления.
Если renegotiate не происходит, железка по второму кругу отдает свой
собственный сертификат и не считает себя зарегистрированной.
Вот как то так. Уже неделю долблюсь в стену. Пока безуспешно. :(

18 сентября 2017 г., 19:41 пользователь Maxim Dounin <mdounin на mdounin.ru>
написал:

> Hello!
>
> On Mon, Sep 18, 2017 at 05:38:02PM +0300, Mike Patutin wrote:
>
> > А возможна ли "передача" ssl renegotiation?
> > Т.е. при запросе ssl renegotiation c сервера управления, инициировать ssl
> > renegotiation от nginx клиенту?.
> >
> > На данный момент я настроил передачу клиентского ssl сертификата в
> > заголовке http.
> > Регистрируюсь напрямую на сервере управления(устройство получает
> корректный
> > сертификат), потом подставляю в середину nginx, и схема вполне себе
> > работает.
> >
> > Проблема у меня именно в процессе регистрации, поскольку renegotiation с
> > сервера управления просто теряется.
>
> Если бекенд можно научить принимать сертификаты в заголовках - то
> соответствующие сертификаты проще всего запрашивать всегда.
> Честный SSL-клиент тогда просто всегда будет присылать сертификат,
> и его можно будет передать в заголовке не бекенд.
>
> --
> Maxim Dounin
> http://nginx.org/
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20170918/d9508a94/attachment-0001.html>


Подробная информация о списке рассылки nginx-ru