<div dir="ltr">Check that you have both the certificate and any intermediate certificates in your pem file - you can skip the top-most CA certificates as those are generally included in your browser's CA store - but the intermediates are not.<div><br></div><div>I believe Nginx wants certs ordered from bottom-most (your cert) to top-most (ca's cert) - it used to be picky about that I haven't retried the ordering in a long while.</div><div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Jun 19, 2016 at 5:09 AM, Francis Daly <span dir="ltr"><<a href="mailto:francis@daoine.org" target="_blank">francis@daoine.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sat, Jun 18, 2016 at 11:29:49AM +0300, Andrey Novikov wrote:<br>
<br>
Hi there,<br>
<br>
> We've successfully configured interaction with two of these systems<br>
> (all with mutual TLS), and when pointed another one to this server<br>
> we've got next message in the error.log (log level for error log is<br>
> set to debug):<br>
><br>
> 2016/06/16 18:07:55 [info] 21742#0: *179610 SSL_do_handshake() failed<br>
> (SSL: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad<br>
> certificate:SSL alert number 42) while SSL handshaking, client:<br>
> 10.117.252.168, server: <a href="http://0.0.0.0:8443" rel="noreferrer" target="_blank">0.0.0.0:8443</a><br>
><br>
> What can cause this message? How to debug it?<br>
<br>
I think that this message (can|does) mean that the far side did not like<br>
something about your certificate.<br>
<br>
If that is the case - are there any logs on the thing connecting to<br>
nginx about what it thinks happened in the TLS negotiation?<br>
<br>
Cheers,<br>
<br>
        f<br>
<span class="HOEnZb"><font color="#888888">--<br>
Francis Daly        <a href="mailto:francis@daoine.org">francis@daoine.org</a><br>
<br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br>
</font></span></blockquote></div><br></div>