Client sent no required SSL certificate while reading client request headers

Alex Sergeyev asergeyev на dyn.com
Пн Мар 28 17:35:03 MSD 2011


Вы пытаетесь клиентов аутентифицировать по сертификату который вы им
выдаёте?

Если нет то вы делаете не то что нужно, чтоб CA стал бы видимым. Слейте
name.crt и thawte_ca.crt в один файл и просто напишите:

ssl_certificate /etc/apache2/ssl/name_and_ca.crt;

И выкиньте из опций:
* ssl_client_certificate
* ssl_verify_client 
* ssl_verify_depth
* и из поста в форуме надо выкинуть SSLv2 и часть ssl_ciphers

Удач.

Саша.



On Thu, 2011-03-24 at 04:14 +0000, Vladislav Vorobiev wrote:
> Я тут как то уже писал по этому поводу но так и не удалось до конца
> решить проблему.
> 
> http://forum.nginx.org/read.php?21,171296
> 
> Конфиг  такой
> 
> ssl on;
> ssl_certificate /etc/apache2/ssl/name.crt;
> ssl_certificate_key /etc/apache2/ssl/key.key;
> ssl_client_certificate /etc/apache2/ssl/thawte_ca.crt;
> ssl_verify_client optional;
> ssl_verify_depth 2;
> 
> Если стоит
> 
> ssl_verify_client optional;
> 
> То при первом заходе в Windows 7 показывается сообщение
> 
> 
> Windows Security
> 
> No certificate available
> No certificates available meet application crit...
> Click ok to continue.
> 
> В Safari тоже самое, Firefox и Google съедают.
> 
> Если изменить
> 
> ssl_verify_client on;
> 
> То и в Firefox
> 
> 400 Bad Request
> No required SSL certificate was sent
> nginx/0.9.3
> 
> а в error_log info;
> 
> 7576#0: *1081 client sent no required SSL certificate while reading
> client request headers, client: 66.249.71.xx, server: laalamaster.de,
> request: "GET /url HTTP/1.1", host: "www.myhost.com"
> 
> thawte_ca.crt имеет два сертификата, файл выглядит так:
> 
> -----BEGIN CERTIFICATE-----
> MIIEjzCCA3egAwIBAgIQdhASihe2grs6H50amjXAkjANBgkqhkiG9w0BAQUFADCB
> ....................
> 2/lPL0ActI5HImG4TJbe8F8Rfk8R2exQRyIOxR3iZEnnaGNFOorZcfRe8W63FE0+
> bxQe3FL+vN8MvSk/dvsRX2hoFQ==
> -----END CERTIFICATE-----
> -----BEGIN CERTIFICATE-----
> MIIERTCCA66gAwIBAgIQM2VQCHmtc+IwueAdDX+skTANBgkqhkiG9w0BAQUFADCB
> zjELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJ
> ........
> 95OBBaqStB+3msAHF/XLxrRMDtdW3HEgdDjWdMbWj2uvi42gbCkLYeA=
> -----END CERTIFICATE-----
> 
> В чем все-же может быть проблема? Подскажите пожалуйста.
> 





Подробная информация о списке рассылки nginx-ru