nginx-0.7.62 и ssl

Igor Sysoev is at rambler-co.ru
Thu Sep 17 11:15:48 MSD 2009


On Thu, Sep 17, 2009 at 09:53:47AM +0300, Володимир Костирко wrote:

> Igor Sysoev написав(ла):
> >># nginx -t
> >>[emerg]: SSL_CTX_set_tlsext_servername_callback() failed (SSL:)
> >>configuration file /usr/local/etc/nginx/nginx.conf test failed
> >>
> >>Кусок конфига:
> >>    ssl on;
> >>    ssl_protocols SSLv3 TLSv1;
> >>    ssl_prefer_server_ciphers on;
> >>    ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
> >>    ssl_certificate /var/ca/xim.bz/wiki,bugs.cert;
> >>    ssl_certificate_key /var/ca/xim.bz/wiki,bugs.pk;
> >>    ssl_session_cache shared:SSL:10m;
> >>    ssl_session_timeout 10m;
> >>
> >>Срубается на строке ssl_certificate, сертификат с парой санов, сабжект 
> >>тоже присутствует.
> >
> >Патч, после которого nginx будет только выдавать предупрждение.
> >
> >Какая OS, как ставился nginx - из бинарного пакета или собирался на этой
> >же машине ?
> 
> FreeBSD 7.2-p3, порты, bundled ssl. Сертификат генерился им же.
> 
> Вообще там немного странно, bundled ssl точно tlsext умеет, но не в том 
> наборе в каком он появился в openssl. Рапортует он естественно более 
> старую версию, а tlsext был воткнут в мир бэкпортом.

Значит, плохо забэкпортили.

> PS: Чуть не забыл, по-моему там как-раз для проверки сертификатов не 
> хватало опции для указывания какой именно сан мы проверяем.

Что такое bundled ssl и сан ?

Проблема не в сертификате, проблема в том, что библиотека говорит,
что tlsext она не знает. Начиная со следующей версии nginx будет
просто предупреждать о проблеме, потому что она стала возникать
достатончо часто, хотя сам SNI пока вроде широко не используется.


-- 
Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list