ssl_crl 3:unable to get certificate CRL

Maxim Dounin mdounin на mdounin.ru
Вт Ноя 1 22:17:06 UTC 2011


Hello!

On Tue, Nov 01, 2011 at 09:34:03PM +0200, Алексей Бобок wrote:

> Приветствую.
> Имею аналогичную проблему как здесь
> http://forum.nginx.org/read.php?21,6417,175050
> 
> server {
> ...
>         ssl                  on;
>         ssl_certificate      /usr/local/etc/nginx/certs/api.srv.biz.crt;
>         ssl_certificate_key  /usr/local/etc/nginx/certs/api.srv.biz.key;
> 
>         ssl_session_timeout  5m;
>         ssl_session_cache  shared:SSL:10m;
>         ssl_protocols TLSv1;
>         ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>         ssl_prefer_server_ciphers   on;
>         ssl_verify_client on;
>         ssl_client_certificate /usr/local/etc/nginx/certs/capem.crt;
> 
> ...
> }
> 
> все работало.
> 
> После того, как включил в секции http{
> ssl_crl /usr/local/etc/nginx/certs/crl.pem;
> }
> 
> стало выдавать:
> 
> 400 Bad Request
> The SSL certificate error
> nginx/1.0.3
> 
> а в логе:
> 2011/11/01 21:27:02 [info] 1287#0: *1741 client SSL certificate verify
> error: (3:unable to get certificate CRL) while reading client request
> headers, client: 89.*.*.99, server: api.srv.biz, request: "GET /
> HTTP/1.1", host: "api.srv.biz"
> 
> CRL список, указанный в пользовательском сертификате - доступен. Он же
> подгружается самой опцией ssl_crl.
> внутри файла такое:
> st1# openssl crl -text -in /usr/local/etc/nginx/certs/crl.pem
> Certificate Revocation List (CRL):
>         Version 2 (0x1)
>         Signature Algorithm: sha256WithRSAEncryption
>         Issuer: /C=UA/CN=ca.srv.biz

Возвращённая ошибка предполагает, что не найден crl для одного из 
сертификатов в цепочке.  Клиентский сертификат выдан 
"/C=UA/CN=ca.srv.biz", а тот в свою очередь - self-signed?

Maxim Dounin



Подробная информация о списке рассылки nginx-ru