<div dir="ltr"><div><div>добрый день!<br><br></div>у Ð²Ð°Ñ Ð½Ð° Ñайте Ñказано, что Ñто "Ñлектронное правительÑтво алтайÑкого краÑ",<br></div>наÑколько Ñ Ð¿Ð¾Ð½Ð¸Ð¼Ð°ÑŽ, как таковой ГОСТ мало кому интереÑен, интереÑно Ñертифицированное решение. у того же Крипто про Ñертификаты еÑÑ‚ÑŒ, у nginx + openssl + ГОСТ - нет, подÑкажите, как вы ÑобираетеÑÑŒ решать Ñтот Ð²Ð¾Ð¿Ñ€Ð¾Ñ ?<br></div><div class="gmail_extra"><br><div class="gmail_quote">3 Ð°Ð¿Ñ€ÐµÐ»Ñ 2017 г., 8:25 пользователь DemDA <span dir="ltr"><<a href="mailto:nginx-forum@forum.nginx.org" target="_blank">nginx-forum@forum.nginx.org</a>></span> напиÑал:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">ЗдравÑтвуйте, уважаемые профи!<br>
Возник Ð²Ð¾Ð¿Ñ€Ð¾Ñ (точнее наверное два ).<br>
ПоднÑли NGinxÂ Ð´Ð»Ñ Ð´Ð¾Ñтупа к одному из защищаемых реÑурÑов. Сделал<br>
двуÑтороннюю аутентификацию. Прикрутил ГОСТ. Ð’Ñе взлетело. ÐО... поÑвилаÑÑŒ<br>
проблема. Когда иÑпользую Ñертификаты, выданные ÑобÑтвенным УЦ, где root CA<br>
ÑамоподпиÑаный - вÑе нормально летает авторизуетÑÑ... вÑе гуд. Беда в том,<br>
что Ð´Ð»Ñ Ð°Ð²Ñ‚Ð¾Ñ€Ð¸Ð·Ð°Ñ†Ð¸Ð¸ надо иÑпользовать Ñертификаты ÐП, выданные УЦ нашей<br>
вышеÑтоÑщей организации, а там root CA подпиÑан промежуточным Ñертификатом<br>
УЦ минкозвÑзи, который в подпиÑан Ñертификатом головного УЦ минкомÑвÑзи (он<br>
ÑамоподпиÑанный). Ð’ таком Ñлучае у клиента проиÑходит Ð·Ð°Ð¿Ñ€Ð¾Ñ Ñертификата,<br>
причем ÑпиÑок Ñертификатов правильный. ÐО поÑле выбора Ñертификата ошибка<br>
400 - и вÑе. Пробовал catом ÑлеплÑÑ‚ÑŒ Ñертификаты в разной<br>
поÑледовательноÑти, пробовал в ssl_trusted_certificate накидывать ....<br>
ничего. У клиента вÑе Ñертфикаты уÑтановлены.<br>
Вот конфиг<br>
server {<br>
listen   443 ssl;<br>
server_name <a href="http://tls.oepak22.ru" rel="noreferrer" target="_blank">tls.oepak22.ru</a>;<br>
ssl_certificate   /etc/nginx/serts/server.crt;<br>
ssl_certificate_key /etc/nginx/serts/server.key;<br>
large_client_header_buffers 4 16k;<br>
ssl_ciphers GOST2001-GOST89-GOST89:HIGH:<wbr>MEDIUM;<br>
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br>
ssl_protocols TLSv1;<br>
ssl_prefer_server_ciphers on;<br>
ssl_client_certificate /etc/nginx/serts/ca1.crt;<br>
#ssl_client_certificate /etc/nginx/serts/xcc.crt;<br>
ssl_crl /etc/nginx/serts/crl.pem;<br>
ssl_verify_client on;<br>
keepalive_timeout 70;<br>
location / {<br>
root  /www/;<br>
index index.html;<br>
    }<br>
<br>
location /deloweb {<br>
 proxy_pass <a href="http://10.33.1.7/deloweb" rel="noreferrer" target="_blank">http://10.33.1.7/deloweb</a>;<br>
    }<br>
PS. ОговорюÑÑŒ Ñразу, что server.crt выдан как раз таки УЦ, который теÑтовый<br>
и ÑамоподпиÑанный root CA. Ðет ли ничего в Ñтом криминального, что<br>
Ñертификат Ñервера и Ñертификат клиентов выданы разными УЦ.<br>
И еще вопроÑ: возможно ли иÑпользовать одновременно неÑколько<br>
ssl_client_certificate? Ðктуально потому, что у Ð½Ð°Ñ Ð² регионе неÑколько УЦ.<br>
<br>
Posted at Nginx Forum: <a href="https://forum.nginx.org/read.php?21,273305,273305#msg-273305" rel="noreferrer" target="_blank">https://forum.nginx.org/read.<wbr>php?21,273305,273305#msg-<wbr>273305</a><br>
<br>
______________________________<wbr>_________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx-ru</a></blockquote></div><br></div>