Re: ssl_verify_client и ошибка 400: Bad request. No required SSL certificate was sent

[Андрей Коробков]

On Tue, 15 Mar 2011 16:11:13 +0300
Maxim Dounin <mdounin на mdounin.ru> wrote:
> Сейчас директива ssl_verify_client должена быть указана в сервере, 
> являющимся сервером по умолчанию для данного listen-сокета.  Или 
> на уровне http (что в итоге даст то же самое за счёт наследования).
> 
> У вас, судя по всему, в сервере по умолчанию для *:443 
> ssl_verify_client не установлен в on.
Да, точно. А как вы узнали? :)
Я совсем забыл про конфиг основного хоста. Вот он:
http://pastebin.com/E85e0f4h (Основной хост)

Хорошо, что помогли разобраться: ситуация, действительно, нетипичная;
и сообщений в логах нет. Тяжело отлаживать вслепую...
Ещё мне оказался полезен материал с http://nginx.org/en/docs/http/configuring_https_servers.html.

> 
> Если хочется, чтобы работало само в рамках SNI - следует применить 
> патч[1].
То что нужно! Отлично работает (nginx-0.9.5). Спасибо! :)
С патчем сразу завелось.
Кстати, SNI мне понравилось: думаю, так, собственно, и должен работать SSL.

> Но только не забываем про то, что SNI можно использовать 
> только если вы контроллируете браузеры клиентов, в реальном мире 
> велик процент непонимающих SNI браузеров.
Спасибо за совет. Но в данном случае ничего страшного :)
Это - мой персональный, а не деловой сайт; и сертификаты я делаю для себя и своих друзей.
Так что стараюсь делать всё по современным стандартам и без оглядки на
неправильные браузеры.
Ну, а чтобы их было поменьше в интернете, у меня тоже есть свой "патч" :)

if ($msie) {
    rewrite ^ http://getfirefox.com/ redirect;
}

(спасибо за переменную $msie; хорошо бы ещё и аналогичную переменную $OS /и конкретно $windows/):

P.S. Тестовый сайт (как и основной) я полностью убрал с ipv4 и оставил всё только на ipv6.
Актуальные версии файлов настройки nginx (симлинки из /etc/nginx) находятся на самом тестовом сайте.
Всем спасибо! Проблема полностью и успешно решена.

-- 
Андрей Коробков <korobkov на lavabit.com>