ssl client again

[Andrey Y. Ostanovsky]

Igor Sysoev wrote:
>> внимание на ошибку в файле.:) До этого ни апач, ни nginx на такое не
>> ругался.
>>
>> 2006/08/08 17:56:34 [emerg] 885#0:
>> SSL_CTX_use_certificate_chain_file("/etc/ssl/www.host.name.crt") failed
>> (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line)
>> 2006/08/08 17:56:34 [emerg] 885#0: the configuration file
>> /usr/local/etc/nginx/nginx.conf test failed
>>
>> Файл, указанный в сообщении, реально есть. При его убирании появляется
>> ругань на отсутствие файла. Возможно, имеющийся в конфиге серверный
> Упонимается ли "/etc/ssl/www.host.name.crt" где-то в конфигах ?
> Какое сообщение выдаётся, если файл убрать ?
Уфф, методом последовательного урезания конфигов разобрался с руганью 
ssl библиотек. Оказывается, побочным эффектом от внесенных  данным 
патчем поправок по работе с сертификатами стала физическая невозможность 
повесить на 1 IP два (и более) разных сертификата. До этого у меня 
достаточно долго в тестовом конфиге жило две секции server на одном IP с 
указанием своих сертификатов и никто ни на что не ругался. Сейчас так 
сделать не получается. После того, как оставил только одну секцию - 
сервер заработал.

Авторизация firefox с двумя одновременно установленными сертификатами 
клиента - тоже заработала. Пристально не смотрел, но по крайней мере 
пускает на два разных хоста без вопросов. С большим количеством 
сертификатов - пока не проверял. У IE с этим проще потому, что на стадии 
отправки клиентского сертификата он выкидывает окошко, в котором 
спрашивает "Какой из сертификатов будем отправлять". Потому там и пять 
сертификатов будут незаметны снаружи. По идее - это недоработка 
firefox-а в части отдачи излишней информации клиента наружу.

Большое спасибо за потраченное на решение данного вопроса время.

-- 
Best regards, Andrey
St.Petersburg