
<div dir="ltr"><div><div>добрый день!<br><br></div>у вас на сайте сказано, что это "электронное правительство алтайского края",<br></div>насколько я понимаю, как таковой ГОСТ мало кому интересен, интересно сертифицированное решение. у того же Крипто про сертификаты есть, у nginx + openssl + ГОСТ - нет, подскажите, как вы собираетесь решать этот вопрос ?<br></div><div class="gmail_extra"><br><div class="gmail_quote">3 апреля 2017 г., 8:25 пользователь DemDA <span dir="ltr"><<a href="mailto:nginx-forum@forum.nginx.org" target="_blank">nginx-forum@forum.nginx.org</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Здравствуйте, уважаемые профи!<br>


Возник вопрос (точнее наверное два ).<br>


Подняли NGinx  для доступа к одному из защищаемых ресурсов. Сделал<br>


двустороннюю аутентификацию. Прикрутил ГОСТ. Все взлетело. НО... появилась<br>


проблема. Когда использую сертификаты, выданные собственным УЦ, где root CA<br>


самоподписаный - все нормально летает авторизуется... все гуд.  Беда в том,<br>


что для авторизации надо использовать сертификаты ЭП, выданные УЦ нашей<br>


вышестоящей организации, а там root CA подписан промежуточным сертификатом<br>


УЦ минкозвязи, который в подписан сертификатом головного УЦ минкомсвязи (он<br>


самоподписанный). В таком случае у клиента происходит запрос сертификата,<br>


причем список сертификатов правильный. НО после выбора сертификата ошибка<br>


400 - и все. Пробовал catом слеплять сертификаты в разной<br>


последовательности, пробовал в ssl_trusted_certificate накидывать ....<br>


ничего. У клиента все сертфикаты установлены.<br>


Вот конфиг<br>


server {<br>


listen     443 ssl;<br>


server_name  <a href="http://tls.oepak22.ru" rel="noreferrer" target="_blank">tls.oepak22.ru</a>;<br>


ssl_certificate      /etc/nginx/serts/server.crt;<br>


ssl_certificate_key  /etc/nginx/serts/server.key;<br>


large_client_header_buffers 4 16k;<br>


ssl_ciphers GOST2001-GOST89-GOST89:HIGH:<wbr>MEDIUM;<br>


#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br>


ssl_protocols TLSv1;<br>


ssl_prefer_server_ciphers  on;<br>


ssl_client_certificate /etc/nginx/serts/ca1.crt;<br>


#ssl_client_certificate /etc/nginx/serts/xcc.crt;<br>


ssl_crl /etc/nginx/serts/crl.pem;<br>


ssl_verify_client on;<br>


keepalive_timeout 70;<br>


location / {<br>


root   /www/;<br>


index index.html;<br>


        }<br>


<br>


location /deloweb {<br>


 proxy_pass <a href="http://10.33.1.7/deloweb" rel="noreferrer" target="_blank">http://10.33.1.7/deloweb</a>;<br>


        }<br>


PS. Оговорюсь сразу, что server.crt выдан как раз таки УЦ, который тестовый<br>


и самоподписанный root CA. Нет ли ничего в этом криминального, что<br>


сертификат сервера и сертификат клиентов выданы разными УЦ.<br>


И еще вопрос: возможно ли использовать одновременно несколько<br>


ssl_client_certificate? Актуально потому, что у нас в регионе несколько УЦ.<br>


<br>


Posted at Nginx Forum: <a href="https://forum.nginx.org/read.php?21,273305,273305#msg-273305" rel="noreferrer" target="_blank">https://forum.nginx.org/read.<wbr>php?21,273305,273305#msg-<wbr>273305</a><br>


<br>


______________________________<wbr>_________________<br>


nginx-ru mailing list<br>


<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>


<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx-ru</a></blockquote></div><br></div>