<div dir="ltr">Сертификаты я запрашиваю. Бекенд в разумных пределах может быть допилен.<br>Моя проблема именно в железках, и именно в последовательности регистрации.<br>Железка генерирует свой запрос сертификата и делает PUT на сервер с первым запросом, сервер ей генерирует  сертификат по запросу и отдает его назад в ответе, после чего вызывает renegotiate.<br>После этого творится некая магия в мозгах железки, и она начинает использовать свежий сертификат, полученный только что от сервера управления.<br>Если renegotiate не происходит, железка по второму кругу отдает свой собственный сертификат и не считает себя зарегистрированной.<div>Вот как то так. Уже неделю долблюсь в стену. Пока безуспешно. :(<br><div class="gmail_extra"><br><div class="gmail_quote">18 сентября 2017 г., 19:41 пользователь Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<span><br>
On Mon, Sep 18, 2017 at 05:38:02PM +0300, Mike Patutin wrote:<br>
<br>
> А возможна ли "передача" ssl renegotiation?<br>
> Т.е. при запросе ssl renegotiation c сервера управления, инициировать ssl<br>
> renegotiation от nginx клиенту?.<br>
><br>
> На данный момент я настроил передачу клиентского ssl сертификата в<br>
> заголовке http.<br>
> Регистрируюсь напрямую на сервере управления(устройство получает корректный<br>
> сертификат), потом подставляю в середину nginx, и схема вполне себе<br>
> работает.<br>
><br>
> Проблема у меня именно в процессе регистрации, поскольку renegotiation с<br>
> сервера управления просто теряется.<br>
<br>
</span>Если бекенд можно научить принимать сертификаты в заголовках - то<br>
соответствующие сертификаты проще всего запрашивать всегда.<br>
Честный SSL-клиент тогда просто всегда будет присылать сертификат,<br>
и его можно будет передать в заголовке не бекенд.<br>
<div class="m_-179922521108400165HOEnZb"><div class="m_-179922521108400165h5"><br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" rel="noreferrer" target="_blank">http://nginx.org/</a><br>
______________________________<wbr>_________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailm<wbr>an/listinfo/nginx-ru</a></div></div></blockquote></div><br></div></div></div>