<div dir="ltr"><div><div>добрый Ð´ÐµÐ½ÑŒ!<br><br></div>у Ð²Ð°Ñ Ð½Ð° ÑÐ°Ð¹Ñ‚е ÑÐºÐ°Ð·Ð°Ð½Ð¾, Ñ‡Ñ‚о ÑÑ‚о "электронное Ð¿Ñ€Ð°Ð²Ð¸Ñ‚ельство Ð°Ð»Ñ‚айского ÐºÑ€Ð°Ñ",<br></div>насколько Ñ Ð¿Ð¾Ð½Ð¸Ð¼Ð°ÑŽ, ÐºÐ°Ðº Ñ‚аковой Ð“ОСТ Ð¼Ð°Ð»Ð¾ ÐºÐ¾Ð¼Ñƒ Ð¸Ð½Ñ‚ересен, Ð¸Ð½Ñ‚ересно ÑÐµÑ€Ñ‚ифицированное Ñ€ÐµÑˆÐµÐ½Ð¸Ðµ. Ñƒ Ñ‚ого Ð¶Ðµ ÐšÑ€Ð¸Ð¿Ñ‚о Ð¿Ñ€Ð¾ ÑÐµÑ€Ñ‚ификаты ÐµÑÑ‚ÑŒ, Ñƒ nginx + openssl + Ð“ОСТ - Ð½ÐµÑ‚, Ð¿Ð¾Ð´ÑÐºÐ°Ð¶Ð¸Ñ‚е, ÐºÐ°Ðº Ð²Ñ‹ ÑÐ¾Ð±Ð¸Ñ€Ð°ÐµÑ‚есь Ñ€ÐµÑˆÐ°Ñ‚ÑŒ ÑÑ‚от Ð²Ð¾Ð¿Ñ€Ð¾Ñ ?<br></div><div class="gmail_extra"><br><div class="gmail_quote">3 Ð°Ð¿Ñ€ÐµÐ»Ñ 2017 Ð³., 8:25 Ð¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ñ‚ель DemDA <span dir="ltr"><<a href="mailto:nginx-forum@forum.nginx.org" target="_blank">nginx-forum@forum.nginx.org</a>></span> Ð½Ð°Ð¿Ð¸ÑÐ°Ð»:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Здравствуйте, ÑƒÐ²Ð°Ð¶Ð°ÐµÐ¼Ñ‹Ðµ Ð¿Ñ€Ð¾Ñ„и!<br>
Возник Ð²Ð¾Ð¿Ñ€Ð¾Ñ (точнее Ð½Ð°Ð²ÐµÑ€Ð½Ð¾Ðµ Ð´Ð²Ð° ).<br>
Подняли NGinx  Ð´Ð»Ñ Ð´Ð¾ÑÑ‚упа Ðº Ð¾Ð´Ð½Ð¾Ð¼Ñƒ Ð¸Ð· Ð·Ð°Ñ‰Ð¸Ñ‰Ð°ÐµÐ¼Ñ‹Ñ… Ñ€ÐµÑÑƒÑ€ÑÐ¾Ð². Ð¡Ð´ÐµÐ»Ð°Ð»<br>
двустороннюю Ð°ÑƒÑ‚ентификацию. ÐŸÑ€Ð¸ÐºÑ€ÑƒÑ‚ил Ð“ОСТ. Ð’се Ð²Ð·Ð»ÐµÑ‚ело. ÐÐž... Ð¿Ð¾ÑÐ²Ð¸Ð»Ð°ÑÑŒ<br>
проблема. ÐšÐ¾Ð³Ð´Ð° Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·ÑƒÑŽ ÑÐµÑ€Ñ‚ификаты, Ð²Ñ‹Ð´Ð°Ð½Ð½Ñ‹Ðµ ÑÐ¾Ð±ÑÑ‚венным Ð£Ð¦, Ð³Ð´Ðµ root CA<br>
самоподписаный - Ð²ÑÐµ Ð½Ð¾Ñ€Ð¼Ð°Ð»ÑŒÐ½Ð¾ Ð»ÐµÑ‚ает Ð°Ð²Ñ‚оризуется... Ð²ÑÐµ Ð³ÑƒÐ´.  Ð‘еда Ð² Ñ‚ом,<br>
что Ð´Ð»Ñ Ð°Ð²Ñ‚оризации Ð½Ð°Ð´Ð¾ Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ñ‚ÑŒ ÑÐµÑ€Ñ‚ификаты Ð­ÐŸ, Ð²Ñ‹Ð´Ð°Ð½Ð½Ñ‹Ðµ Ð£Ð¦ Ð½Ð°ÑˆÐµÐ¹<br>
вышестоящей Ð¾Ñ€Ð³Ð°Ð½Ð¸Ð·Ð°Ñ†Ð¸Ð¸, Ð° Ñ‚ам root CA Ð¿Ð¾Ð´Ð¿Ð¸ÑÐ°Ð½ Ð¿Ñ€Ð¾Ð¼ÐµÐ¶ÑƒÑ‚очным ÑÐµÑ€Ñ‚ификатом<br>
УЦ Ð¼Ð¸Ð½ÐºÐ¾Ð·Ð²ÑÐ·Ð¸, ÐºÐ¾Ñ‚орый Ð² Ð¿Ð¾Ð´Ð¿Ð¸ÑÐ°Ð½ ÑÐµÑ€Ñ‚ификатом Ð³Ð¾Ð»Ð¾Ð²Ð½Ð¾Ð³Ð¾ Ð£Ð¦ Ð¼Ð¸Ð½ÐºÐ¾Ð¼ÑÐ²ÑÐ·Ð¸ (он<br>
самоподписанный). Ð’ Ñ‚аком ÑÐ»ÑƒÑ‡Ð°Ðµ Ñƒ ÐºÐ»Ð¸ÐµÐ½Ñ‚а Ð¿Ñ€Ð¾Ð¸ÑÑ…одит Ð·Ð°Ð¿Ñ€Ð¾Ñ ÑÐµÑ€Ñ‚ификата,<br>
причем ÑÐ¿Ð¸ÑÐ¾Ðº ÑÐµÑ€Ñ‚ификатов Ð¿Ñ€Ð°Ð²Ð¸Ð»ÑŒÐ½Ñ‹Ð¹. ÐÐž Ð¿Ð¾ÑÐ»Ðµ Ð²Ñ‹Ð±Ð¾Ñ€Ð° ÑÐµÑ€Ñ‚ификата Ð¾ÑˆÐ¸Ð±ÐºÐ°<br>
400 - Ð¸ Ð²ÑÐµ. ÐŸÑ€Ð¾Ð±Ð¾Ð²Ð°Ð» catом ÑÐ»ÐµÐ¿Ð»ÑÑ‚ÑŒ ÑÐµÑ€Ñ‚ификаты Ð² Ñ€Ð°Ð·Ð½Ð¾Ð¹<br>
последовательности, Ð¿Ñ€Ð¾Ð±Ð¾Ð²Ð°Ð» Ð² ssl_trusted_certificate Ð½Ð°ÐºÐ¸Ð´Ñ‹Ð²Ð°Ñ‚ÑŒ ....<br>
ничего. Ð£ ÐºÐ»Ð¸ÐµÐ½Ñ‚а Ð²ÑÐµ ÑÐµÑ€Ñ‚фикаты ÑƒÑÑ‚ановлены.<br>
Вот ÐºÐ¾Ð½Ñ„иг<br>
server {<br>
listen  Â  Â 443 ssl;<br>
server_name  <a href="http://tls.oepak22.ru" rel="noreferrer" target="_blank">tls.oepak22.ru</a>;<br>
ssl_certificate  Â  Â  /etc/nginx/serts/server.crt;<br>
ssl_certificate_key  /etc/nginx/serts/server.key;<br>
large_client_header_buffers 4 16k;<br>
ssl_ciphers GOST2001-GOST89-GOST89:HIGH:<wbr>MEDIUM;<br>
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br>
ssl_protocols TLSv1;<br>
ssl_prefer_server_ciphers  on;<br>
ssl_client_certificate /etc/nginx/serts/ca1.crt;<br>
#ssl_client_certificate /etc/nginx/serts/xcc.crt;<br>
ssl_crl /etc/nginx/serts/crl.pem;<br>
ssl_verify_client on;<br>
keepalive_timeout 70;<br>
location / {<br>
root  Â /www/;<br>
index index.html;<br>
  Â  Â  Â  }<br>
<br>
location /deloweb {<br>
 proxy_pass <a href="http://10.33.1.7/deloweb" rel="noreferrer" target="_blank">http://10.33.1.7/deloweb</a>;<br>
  Â  Â  Â  }<br>
PS. ÐžÐ³Ð¾Ð²Ð¾Ñ€ÑŽÑÑŒ ÑÑ€Ð°Ð·Ñƒ, Ñ‡Ñ‚о server.crt Ð²Ñ‹Ð´Ð°Ð½ ÐºÐ°Ðº Ñ€Ð°Ð· Ñ‚аки Ð£Ð¦, ÐºÐ¾Ñ‚орый Ñ‚естовый<br>
и ÑÐ°Ð¼Ð¾Ð¿Ð¾Ð´Ð¿Ð¸ÑÐ°Ð½Ð½Ñ‹Ð¹ root CA. ÐÐµÑ‚ Ð»Ð¸ Ð½Ð¸Ñ‡ÐµÐ³Ð¾ Ð² ÑÑ‚ом ÐºÑ€Ð¸Ð¼Ð¸Ð½Ð°Ð»ÑŒÐ½Ð¾Ð³Ð¾, Ñ‡Ñ‚о<br>
сертификат ÑÐµÑ€Ð²ÐµÑ€Ð° Ð¸ ÑÐµÑ€Ñ‚ификат ÐºÐ»Ð¸ÐµÐ½Ñ‚ов Ð²Ñ‹Ð´Ð°Ð½Ñ‹ Ñ€Ð°Ð·Ð½Ñ‹Ð¼Ð¸ Ð£Ð¦.<br>
И ÐµÑ‰Ðµ Ð²Ð¾Ð¿Ñ€Ð¾Ñ: Ð²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð¾ Ð»Ð¸ Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ñ‚ÑŒ Ð¾Ð´Ð½Ð¾Ð²Ñ€ÐµÐ¼ÐµÐ½Ð½Ð¾ Ð½ÐµÑÐºÐ¾Ð»ÑŒÐºÐ¾<br>
ssl_client_certificate? ÐÐºÑ‚уально Ð¿Ð¾Ñ‚ому, Ñ‡Ñ‚о Ñƒ Ð½Ð°Ñ Ð² Ñ€ÐµÐ³Ð¸Ð¾Ð½Ðµ Ð½ÐµÑÐºÐ¾Ð»ÑŒÐºÐ¾ Ð£Ð¦.<br>
<br>
Posted at Nginx Forum: <a href="https://forum.nginx.org/read.php?21,273305,273305#msg-273305" rel="noreferrer" target="_blank">https://forum.nginx.org/read.<wbr>php?21,273305,273305#msg-<wbr>273305</a><br>
<br>
______________________________<wbr>_________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx-ru</a></blockquote></div><br></div>