в общем решилось тем, что при включенной опции crl - в сертификатах корневого ЦС и юзера должна быть указано точка распределения CRL<div><br></div><div><div>X509v3 CRL Distribution Points:</div><div>                URI:<a href="http://ca.srv.biz/crl.pem">http://ca.srv.biz/crl.pem</a></div>

<div><br></div><br><div class="gmail_quote">2011/11/2 Алексей Бобок <span dir="ltr"><<a href="mailto:alexey.bobok@gmail.com">alexey.bobok@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Корневой сертификат, который подписан юзерский сертификат, да - самоподписанный.<br>
<br>
2011/11/1 Алексей Бобок <<a href="mailto:alexey.bobok@gmail.com">alexey.bobok@gmail.com</a>>:<br>
<div class="HOEnZb"><div class="h5">> Приветствую.<br>
> Имею аналогичную проблему как здесь<br>
> <a href="http://forum.nginx.org/read.php?21,6417,175050" target="_blank">http://forum.nginx.org/read.php?21,6417,175050</a><br>
><br>
> server {<br>
> ...<br>
>        ssl                  on;<br>
>        ssl_certificate      /usr/local/etc/nginx/certs/api.srv.biz.crt;<br>
>        ssl_certificate_key  /usr/local/etc/nginx/certs/api.srv.biz.key;<br>
><br>
>        ssl_session_timeout  5m;<br>
>        ssl_session_cache  shared:SSL:10m;<br>
>        ssl_protocols TLSv1;<br>
>        ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;<br>
>        ssl_prefer_server_ciphers   on;<br>
>        ssl_verify_client on;<br>
>        ssl_client_certificate /usr/local/etc/nginx/certs/capem.crt;<br>
><br>
> ...<br>
> }<br>
><br>
> все работало.<br>
><br>
> После того, как включил в секции http{<br>
> ssl_crl /usr/local/etc/nginx/certs/crl.pem;<br>
> }<br>
><br>
> стало выдавать:<br>
><br>
> 400 Bad Request<br>
> The SSL certificate error<br>
> nginx/1.0.3<br>
><br>
> а в логе:<br>
> 2011/11/01 21:27:02 [info] 1287#0: *1741 client SSL certificate verify<br>
> error: (3:unable to get certificate CRL) while reading client request<br>
> headers, client: 89.*.*.99, server: <a href="http://api.srv.biz" target="_blank">api.srv.biz</a>, request: "GET /<br>
> HTTP/1.1", host: "<a href="http://api.srv.biz" target="_blank">api.srv.biz</a>"<br>
><br>
> CRL список, указанный в пользовательском сертификате - доступен. Он же<br>
> подгружается самой опцией ssl_crl.<br>
> внутри файла такое:<br>
> st1# openssl crl -text -in /usr/local/etc/nginx/certs/crl.pem<br>
> Certificate Revocation List (CRL):<br>
>        Version 2 (0x1)<br>
>        Signature Algorithm: sha256WithRSAEncryption<br>
>        Issuer: /C=UA/CN=<a href="http://ca.srv.biz" target="_blank">ca.srv.biz</a><br>
>        Last Update: Nov  1 18:46:07 2011 GMT<br>
>        Next Update: Oct 29 18:46:07 2021 GMT<br>
>        CRL extensions:<br>
>            X509v3 CRL Number:<br>
>                5<br>
> Revoked Certificates:<br>
>    Serial Number: 0A<br>
>        Revocation Date: Nov  1 18:42:17 2011 GMT<br>
>    Serial Number: 2E<br>
>        Revocation Date: Nov  1 18:45:20 2011 GMT<br>
>    Serial Number: 38<br>
>        Revocation Date: Nov  1 18:40:49 2011 GMT<br>
>    Signature Algorithm: sha256WithRSAEncryption<br>
>        ce:03:8c:b3:a9:f1:b3:4d:55:38:d0:17:bd:36:b4:5c:2c:7f:<br>
>        10:a2:c6:10:d6:2f:09:59:68:f5:7b:82:32:46:2c:50:a9:9a:<br>
>        10:75:f6:81:b1:29:6b:89:1c:36:88:3d:ff:c4:5e:cb:be:5f:<br>
>        df:1a:0c:74:2c:b0:63:c7:9d:f6:37:13:45:40:a7:12:32:c4:<br>
>        82:c2:78:50:f0:a8:8e:ff:fe:61:56:1b:0a:1d:1c:e0:ed:4e:<br>
>        86:2c:4b:75:cf:35:b5:78:7b:72:48:f7:32:40:60:78:fb:ec:<br>
>        89:a8:7a:27:8a:95:56:ad:9e:a6:12:de:c7:17:9f:93:38:81:<br>
>        73:3d:93:2c:63:ce:b4:3b:4f:30:3d:53:19:ae:5f:3e:98:92:<br>
>        cc:a9:e9:a7:93:8f:a9:61:bc:39:44:67:4b:e6:3b:4e:32:c3:<br>
>        19:de:01:90:e9:5e:15:63:ae:38:9c:4d:30:9f:06:a1:20:60:<br>
>        59:d7:21:23:c9:18:49:e1:8c:ae:23:8a:ca:c1:dc:6a:41:cb:<br>
>        b4:83:23:c0:b5:62:2e:96:cb:9a:ba:04:02:1e:62:ab:ff:9d:<br>
>        b5:d4:c9:37:8a:cf:23:9a:93:54:bb:ad:04:23:43:90:cb:2d:<br>
>        78:b6:58:64:8c:4a:74:7d:f9:cc:41:45:98:12:39:a7:88:35:<br>
>        73:2f:28:f8<br>
> -----BEGIN X509 CRL-----<br>
> MIIBvTCBpgIBATANBgkqhkiG9w0BAQsFADAmMQswCQYDVQQGEwJVQTEXMBUGA1UE<br>
> AwwOY2EuZmluc29mdC5iaXoXDTExMTEwMTE4NDYwN1oXDTIxMTAyOTE4NDYwN1ow<br>
> PDASAgEKFw0xMTExMDExODQyMTdaMBICAS4XDTExMTEwMTE4NDUyMFowEgIBOBcN<br>
> MTExMTAxMTg0MDQ5WqAOMAwwCgYDVR0UBAMCAQUwDQYJKoZIhvcNAQELBQADggEB<br>
> AM4DjLOp8bNNVTjQF702tFwsfxCixhDWLwlZaPV7gjJGLFCpmhB19oGxKWuJHDaI<br>
> Pf/EXsu+X98aDHQssGPHnfY3E0VApxIyxILCeFDwqI7//mFWGwodHODtToYsS3XP<br>
> NbV4e3JI9zJAYHj77ImoeieKlVatnqYS3scXn5M4gXM9kyxjzrQ7TzA9UxmuXz6Y<br>
> ksyp6aeTj6lhvDlEZ0vmO04ywxneAZDpXhVjrjicTTCfBqEgYFnXISPJGEnhjK4j<br>
> isrB3GpBy7SDI8C1Yi6Wy5q6BAIeYqv/nbXUyTeKzyOak1S7rQQjQ5DLLXi2WGSM<br>
> SnR9+cxBRZgSOaeINXMvKPg=<br>
> -----END X509 CRL-----<br>
><br>
><br>
><br>
> Объясните плз, что не так.<br>
> Благодарю.<br>
><br>
> --<br>
>  Think before you print.<br>
> Best regards, Alexey Bobok.<br>
><br>
<br>
<br>
<br>
--<br>
 Think before you print.<br>
Best regards, Alexey Bobok.<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><img src="http://lh6.ggpht.com/_uqI0hR4rI1E/TG968kR4jaI/AAAAAAAAAA0/uNYjd0YrmS0/image003.gif"> Think before you print.<br>Best regards, Alexey Bobok.<br>


</div>