Re: nginx 0.8.33 с OpenSSL 0.9.8m, проверка клиентских сертификатов.

Yuriy Taraday yorik.sar на gmail.com
Чт Мар 4 15:55:23 MSK 2010


2010/3/4 Igor Sysoev <igor at sysoev.ru>:
> On Thu, Mar 04, 2010 at 01:55:21PM +0300, Yuriy Taraday wrote:
>
>> Добрый день.
>>
>> Система - FreeBSD 7.2, nginx 0.8.33 и OpenSSL 0.9.8m - из портов.
>> Конфиг nginx (только строчки, касающиеся ssl):
>>         ssl  on;
>>         ssl_certificate      root_ca_zone/server.cert.pem;
>>         ssl_certificate_key  root_ca_zone/server.key.pem.unencrypted;
>>
>>         ssl_session_cache builtin;
>>         ssl_session_timeout  3h;
>>
>>         ssl_client_certificate server.chain.pem;
>>         ssl_verify_client optional;
>>         #ssl_verify_depth 2;
>>
>>         ssl_protocols  TLSv1;
>>         ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>>         ssl_prefer_server_ciphers   on;
>>
>> В server.chain.pem - 2 сертификата, корневой и промежуточный.
>> Серверный и клиентский сертификаты выписаны промежуточным CA.
>>
>> Проверка сертификата с таким конфигом проходит успешно с OpenSSL
>> 0.9.8l и неуспешно с OpenSSL 0.9.8m, если же убрать комментарий от
>> ssl_verify_depth, работает и в 0.9.8m.
>> По логам, nginx не уходит глубже depth=1 с новой версией OpenSSL.
>>
>> Судя по всему, это связано со следующим новшеством 0.9.8m:
>>   *) Fix the server certificate chain building code to use X509_verify_cert(),
>>      it used to have an ad-hoc builder which was unable to cope with anything
>>      other than a simple chain.
>>      [David Woodhouse <dwmw2 at infradead.org>, Steve Henson]
>>
>> Ожидаемо ли такое изменение в поведении? Так и должно быть?
>
> А что в error_log на уровне info ?
>

2010/03/04 13:15:29 [info] 67130#0: *1 client SSL certificate verify
error: (27:certificate not trusted) while reading client request
headers, client: 192.168.245.16, server: serv, request: "POST /sec/
HTTP/1.1", host: "serv:8443"

>
> --
> Игорь Сысоев
> http://sysoev.ru
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://nginx.org/mailman/listinfo/nginx-ru
>


Подробная информация о списке рассылки nginx-ru