ssl client again

Igor Sysoev is at rambler-co.ru
Wed Aug 9 00:05:11 MSD 2006


On Wed, 9 Aug 2006, Igor Sysoev wrote:

> On Tue, 8 Aug 2006, Andrey Y. Ostanovsky wrote:
>
>> Igor Sysoev wrote:
>>>> внимание на ошибку в файле.:) До этого ни апач, ни nginx на такое не
>>>> ругался.
>>>> 
>>>> 2006/08/08 17:56:34 [emerg] 885#0:
>>>> SSL_CTX_use_certificate_chain_file("/etc/ssl/www.host.name.crt") failed
>>>> (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line)
>>>> 2006/08/08 17:56:34 [emerg] 885#0: the configuration file
>>>> /usr/local/etc/nginx/nginx.conf test failed
>>>> 
>>>> Файл, указанный в сообщении, реально есть. При его убирании появляется
>>>> ругань на отсутствие файла. Возможно, имеющийся в конфиге серверный
>>> Упонимается ли "/etc/ssl/www.host.name.crt" где-то в конфигах ?
>>> Какое сообщение выдаётся, если файл убрать ?
>> Уфф, методом последовательного урезания конфигов разобрался с руганью ssl 
>> библиотек. Оказывается, побочным эффектом от внесенных  данным патчем 
>> поправок по работе с сертификатами стала физическая невозможность повесить 
>> на 1 IP два (и более) разных сертификата. До этого у меня достаточно долго 
>> в тестовом конфиге жило две секции server на одном IP с указанием своих 
>> сертификатов и никто ни на что не ругался. Сейчас так сделать не 
>> получается. После того, как оставил только одну секцию - сервер заработал.
>
> На самом деле ошибка появляется, если описан второй HTTPS сервер,
> независимо от того, на одном они адресе или на разных. Буду смотреть.
>
>> Авторизация firefox с двумя одновременно установленными сертификатами 
>> клиента - тоже заработала. Пристально не смотрел, но по крайней мере 
>> пускает на два разных хоста без вопросов. С большим количеством 
>> сертификатов - пока не проверял. У IE с этим проще потому, что на стадии 
>> отправки клиентского сертификата он выкидывает окошко, в котором спрашивает 
>> "Какой из сертификатов будем отправлять". Потому там и пять сертификатов 
>> будут незаметны снаружи. По идее - это недоработка firefox-а в части отдачи 
>> излишней информации клиента наружу.
>
> Нет, это была ошикба в nginx'е - он не передавал клиенту интересующий
> сертификат, поэтому firefox предлагал первый более или менее подходящий.
> На самом деле, у firefox'а есть настройка - выбирать автоматичски или
> спрашивать.

Вернее, не "не передвал клиенту интересующий сертификат", а не передавал
subject'ы интересующих сертификатов.


Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list