Re: nginx 0.8.33 с OpenSSL 0.9.8m, проверка клиентских сертификатов.
Yuriy Taraday
yorik.sar на gmail.com
Чт Мар 4 15:55:23 MSK 2010
2010/3/4 Igor Sysoev <igor at sysoev.ru>:
> On Thu, Mar 04, 2010 at 01:55:21PM +0300, Yuriy Taraday wrote:
>
>> Добрый день.
>>
>> Система - FreeBSD 7.2, nginx 0.8.33 и OpenSSL 0.9.8m - из портов.
>> Конфиг nginx (только строчки, касающиеся ssl):
>> ssl on;
>> ssl_certificate root_ca_zone/server.cert.pem;
>> ssl_certificate_key root_ca_zone/server.key.pem.unencrypted;
>>
>> ssl_session_cache builtin;
>> ssl_session_timeout 3h;
>>
>> ssl_client_certificate server.chain.pem;
>> ssl_verify_client optional;
>> #ssl_verify_depth 2;
>>
>> ssl_protocols TLSv1;
>> ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>> ssl_prefer_server_ciphers on;
>>
>> В server.chain.pem - 2 сертификата, корневой и промежуточный.
>> Серверный и клиентский сертификаты выписаны промежуточным CA.
>>
>> Проверка сертификата с таким конфигом проходит успешно с OpenSSL
>> 0.9.8l и неуспешно с OpenSSL 0.9.8m, если же убрать комментарий от
>> ssl_verify_depth, работает и в 0.9.8m.
>> По логам, nginx не уходит глубже depth=1 с новой версией OpenSSL.
>>
>> Судя по всему, это связано со следующим новшеством 0.9.8m:
>> *) Fix the server certificate chain building code to use X509_verify_cert(),
>> it used to have an ad-hoc builder which was unable to cope with anything
>> other than a simple chain.
>> [David Woodhouse <dwmw2 at infradead.org>, Steve Henson]
>>
>> Ожидаемо ли такое изменение в поведении? Так и должно быть?
>
> А что в error_log на уровне info ?
>
2010/03/04 13:15:29 [info] 67130#0: *1 client SSL certificate verify
error: (27:certificate not trusted) while reading client request
headers, client: 192.168.245.16, server: serv, request: "POST /sec/
HTTP/1.1", host: "serv:8443"
>
> --
> Игорь Сысоев
> http://sysoev.ru
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://nginx.org/mailman/listinfo/nginx-ru
>
Подробная информация о списке рассылки nginx-ru