SSL и проверка клиентских сертификатов
hatred
adrozdoff at gmail.com
Wed Oct 29 04:40:19 MSK 2008
Доброго времени суток,
при настройке сабжевой связки возникла проблема: nginx отвечает:
The SSL certificate error
Версия nginx 0.7.19
В логах (с опцией debug):
2008/10/29 11:15:03 [alert] 8533#0: *6 ignoring stale global SSL error
(SSL: error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown
message digest algorithm) while SSL han
dshaking, client: 192.168.127.10, server: localhost
2008/10/29 11:15:03 [info] 8533#0: *6 client SSL certificate verify
error: (7:certificate signature failure) while reading client request
headers, client: 192.168.127.10, server:
localhost, request: "GET / HTTP/1.1", host: "192.168.2.22:443"
Насколько я понял, не может определить алгоритм подписи, но для
сертификата вроде ничего сверхестественного не указывал.
Конфигурация ssl (остальное дефолтный конфиг из тарбола с исходниками):
----- cut -----
# HTTPS server
#
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate 192.168.2.22.pem;
ssl_certificate_key 192.168.2.22.pem;
ssl_client_certificate TestCA.pem;
ssl_verify_client on;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers off;
location / {
root html;
index index.html index.htm;
}
}
----- cut -----
Сами сертификаты сделаны с помощью программы xca
(http://xca.hohnstaedt.de/, юзает OpenSSL)
заранее спасибо за ответ.
PS если каких-то данных не хватает, укажите - предоставлю :)
More information about the nginx-ru
mailing list