Re: тонкая настройка проверки ssl сертификатов

[Илья Шипицин]

разобрался ))

проблема решается через

error_page 495 = @go;

23 июня 2011 г. 11:49 пользователь Илья Шипицин <chipitsine на gmail.com>написал:

> Добрый день!
>
> хочется реализовать такую логику:
>
> 1) если у пользователя сертификата нет - ок, пускаем его так
> 2) если сертификат предъявил (раз сервер его спрашивает), то независимо от
> того, можем мы его проверить или нет - пускаем (но фиксируем успешность
> проверки в nginx-овых переменных)
>
> я так понимаю, что с ssl_verify_client on/off я пролетаю и надо смотреть в
> сторону ssl_verify_client optional ?
>
> в этом случае всё почти так, как я хочу, но если клиентский сертификат
> проверить не удалось (допустим, он выдан каким-то УЦ для клиент-банка,
> которого у меня сроду нет), то я получаю 400-ю ошибку.
>
> дальше по логике надо бы эту ошибку перехватить и тупо пробросить на
> прокси, но почему-то следующая конструкция в данном случае не работает:
>
> error_page 400 @go;
>
>         location @go {
>             access_log off;
>
> как-то можно выкрутиться из этой ситуации ?
>
> Илья Шипицин
>
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено&hellip;
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20110623/d3755fc7/attachment.html>