<div dir="ltr"><div><div>добрый день!<br><br></div>у вас на сайте сказано, что это "электронное правительство алтайского края",<br></div>насколько я понимаю, как таковой ГОСТ мало кому интересен, интересно сертифицированное решение. у того же Крипто про сертификаты есть, у nginx + openssl + ГОСТ - нет, подскажите, как вы собираетесь решать этот вопрос ?<br></div><div class="gmail_extra"><br><div class="gmail_quote">3 апреля 2017 г., 8:25 пользователь DemDA <span dir="ltr"><<a href="mailto:nginx-forum@forum.nginx.org" target="_blank">nginx-forum@forum.nginx.org</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Здравствуйте, уважаемые профи!<br>
Возник вопрос (точнее наверное два ).<br>
Подняли NGinx  для доступа к одному из защищаемых ресурсов. Сделал<br>
двустороннюю аутентификацию. Прикрутил ГОСТ. Все взлетело. НО... появилась<br>
проблема. Когда использую сертификаты, выданные собственным УЦ, где root CA<br>
самоподписаный - все нормально летает авторизуется... все гуд.  Беда в том,<br>
что для авторизации надо использовать сертификаты ЭП, выданные УЦ нашей<br>
вышестоящей организации, а там root CA подписан промежуточным сертификатом<br>
УЦ минкозвязи, который в подписан сертификатом головного УЦ минкомсвязи (он<br>
самоподписанный). В таком случае у клиента происходит запрос сертификата,<br>
причем список сертификатов правильный. НО после выбора сертификата ошибка<br>
400 - и все. Пробовал catом слеплять сертификаты в разной<br>
последовательности, пробовал в ssl_trusted_certificate накидывать ....<br>
ничего. У клиента все сертфикаты установлены.<br>
Вот конфиг<br>
server {<br>
listen     443 ssl;<br>
server_name  <a href="http://tls.oepak22.ru" rel="noreferrer" target="_blank">tls.oepak22.ru</a>;<br>
ssl_certificate      /etc/nginx/serts/server.crt;<br>
ssl_certificate_key  /etc/nginx/serts/server.key;<br>
large_client_header_buffers 4 16k;<br>
ssl_ciphers GOST2001-GOST89-GOST89:HIGH:<wbr>MEDIUM;<br>
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br>
ssl_protocols TLSv1;<br>
ssl_prefer_server_ciphers  on;<br>
ssl_client_certificate /etc/nginx/serts/ca1.crt;<br>
#ssl_client_certificate /etc/nginx/serts/xcc.crt;<br>
ssl_crl /etc/nginx/serts/crl.pem;<br>
ssl_verify_client on;<br>
keepalive_timeout 70;<br>
location / {<br>
root   /www/;<br>
index index.html;<br>
        }<br>
<br>
location /deloweb {<br>
 proxy_pass <a href="http://10.33.1.7/deloweb" rel="noreferrer" target="_blank">http://10.33.1.7/deloweb</a>;<br>
        }<br>
PS. Оговорюсь сразу, что server.crt выдан как раз таки УЦ, который тестовый<br>
и самоподписанный root CA. Нет ли ничего в этом криминального, что<br>
сертификат сервера и сертификат клиентов выданы разными УЦ.<br>
И еще вопрос: возможно ли использовать одновременно несколько<br>
ssl_client_certificate? Актуально потому, что у нас в регионе несколько УЦ.<br>
<br>
Posted at Nginx Forum: <a href="https://forum.nginx.org/read.php?21,273305,273305#msg-273305" rel="noreferrer" target="_blank">https://forum.nginx.org/read.<wbr>php?21,273305,273305#msg-<wbr>273305</a><br>
<br>
______________________________<wbr>_________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx-ru</a></blockquote></div><br></div>