nginx-0.7.62 и ssl
Igor Sysoev
is at rambler-co.ru
Thu Sep 17 11:15:48 MSD 2009
On Thu, Sep 17, 2009 at 09:53:47AM +0300, Володимир Костирко wrote:
> Igor Sysoev написав(ла):
> >># nginx -t
> >>[emerg]: SSL_CTX_set_tlsext_servername_callback() failed (SSL:)
> >>configuration file /usr/local/etc/nginx/nginx.conf test failed
> >>
> >>Кусок конфига:
> >> ssl on;
> >> ssl_protocols SSLv3 TLSv1;
> >> ssl_prefer_server_ciphers on;
> >> ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
> >> ssl_certificate /var/ca/xim.bz/wiki,bugs.cert;
> >> ssl_certificate_key /var/ca/xim.bz/wiki,bugs.pk;
> >> ssl_session_cache shared:SSL:10m;
> >> ssl_session_timeout 10m;
> >>
> >>Срубается на строке ssl_certificate, сертификат с парой санов, сабжект
> >>тоже присутствует.
> >
> >Патч, после которого nginx будет только выдавать предупрждение.
> >
> >Какая OS, как ставился nginx - из бинарного пакета или собирался на этой
> >же машине ?
>
> FreeBSD 7.2-p3, порты, bundled ssl. Сертификат генерился им же.
>
> Вообще там немного странно, bundled ssl точно tlsext умеет, но не в том
> наборе в каком он появился в openssl. Рапортует он естественно более
> старую версию, а tlsext был воткнут в мир бэкпортом.
Значит, плохо забэкпортили.
> PS: Чуть не забыл, по-моему там как-раз для проверки сертификатов не
> хватало опции для указывания какой именно сан мы проверяем.
Что такое bundled ssl и сан ?
Проблема не в сертификате, проблема в том, что библиотека говорит,
что tlsext она не знает. Начиная со следующей версии nginx будет
просто предупреждать о проблеме, потому что она стала возникать
достатончо часто, хотя сам SNI пока вроде широко не используется.
--
Игорь Сысоев
http://sysoev.ru
More information about the nginx-ru
mailing list