ssl_crl 3:unable to get certificate CRL
Maxim Dounin
mdounin на mdounin.ru
Вт Ноя 1 22:17:06 UTC 2011
Hello!
On Tue, Nov 01, 2011 at 09:34:03PM +0200, Алексей Бобок wrote:
> Приветствую.
> Имею аналогичную проблему как здесь
> http://forum.nginx.org/read.php?21,6417,175050
>
> server {
> ...
> ssl on;
> ssl_certificate /usr/local/etc/nginx/certs/api.srv.biz.crt;
> ssl_certificate_key /usr/local/etc/nginx/certs/api.srv.biz.key;
>
> ssl_session_timeout 5m;
> ssl_session_cache shared:SSL:10m;
> ssl_protocols TLSv1;
> ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
> ssl_prefer_server_ciphers on;
> ssl_verify_client on;
> ssl_client_certificate /usr/local/etc/nginx/certs/capem.crt;
>
> ...
> }
>
> все работало.
>
> После того, как включил в секции http{
> ssl_crl /usr/local/etc/nginx/certs/crl.pem;
> }
>
> стало выдавать:
>
> 400 Bad Request
> The SSL certificate error
> nginx/1.0.3
>
> а в логе:
> 2011/11/01 21:27:02 [info] 1287#0: *1741 client SSL certificate verify
> error: (3:unable to get certificate CRL) while reading client request
> headers, client: 89.*.*.99, server: api.srv.biz, request: "GET /
> HTTP/1.1", host: "api.srv.biz"
>
> CRL список, указанный в пользовательском сертификате - доступен. Он же
> подгружается самой опцией ssl_crl.
> внутри файла такое:
> st1# openssl crl -text -in /usr/local/etc/nginx/certs/crl.pem
> Certificate Revocation List (CRL):
> Version 2 (0x1)
> Signature Algorithm: sha256WithRSAEncryption
> Issuer: /C=UA/CN=ca.srv.biz
Возвращённая ошибка предполагает, что не найден crl для одного из
сертификатов в цепочке. Клиентский сертификат выдан
"/C=UA/CN=ca.srv.biz", а тот в свою очередь - self-signed?
Maxim Dounin
Подробная информация о списке рассылки nginx-ru