ssl_crl 3:unable to get certificate CRL
Алексей Бобок
alexey.bobok на gmail.com
Вт Ноя 8 13:42:57 UTC 2011
в общем решилось тем, что при включенной опции crl - в сертификатах
корневого ЦС и юзера должна быть указано точка распределения CRL
X509v3 CRL Distribution Points:
URI:http://ca.srv.biz/crl.pem
2011/11/2 Алексей Бобок <alexey.bobok на gmail.com>
> Корневой сертификат, который подписан юзерский сертификат, да -
> самоподписанный.
>
> 2011/11/1 Алексей Бобок <alexey.bobok на gmail.com>:
> > Приветствую.
> > Имею аналогичную проблему как здесь
> > http://forum.nginx.org/read.php?21,6417,175050
> >
> > server {
> > ...
> > ssl on;
> > ssl_certificate /usr/local/etc/nginx/certs/api.srv.biz.crt;
> > ssl_certificate_key /usr/local/etc/nginx/certs/api.srv.biz.key;
> >
> > ssl_session_timeout 5m;
> > ssl_session_cache shared:SSL:10m;
> > ssl_protocols TLSv1;
> > ssl_ciphers
> ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
> > ssl_prefer_server_ciphers on;
> > ssl_verify_client on;
> > ssl_client_certificate /usr/local/etc/nginx/certs/capem.crt;
> >
> > ...
> > }
> >
> > все работало.
> >
> > После того, как включил в секции http{
> > ssl_crl /usr/local/etc/nginx/certs/crl.pem;
> > }
> >
> > стало выдавать:
> >
> > 400 Bad Request
> > The SSL certificate error
> > nginx/1.0.3
> >
> > а в логе:
> > 2011/11/01 21:27:02 [info] 1287#0: *1741 client SSL certificate verify
> > error: (3:unable to get certificate CRL) while reading client request
> > headers, client: 89.*.*.99, server: api.srv.biz, request: "GET /
> > HTTP/1.1", host: "api.srv.biz"
> >
> > CRL список, указанный в пользовательском сертификате - доступен. Он же
> > подгружается самой опцией ssl_crl.
> > внутри файла такое:
> > st1# openssl crl -text -in /usr/local/etc/nginx/certs/crl.pem
> > Certificate Revocation List (CRL):
> > Version 2 (0x1)
> > Signature Algorithm: sha256WithRSAEncryption
> > Issuer: /C=UA/CN=ca.srv.biz
> > Last Update: Nov 1 18:46:07 2011 GMT
> > Next Update: Oct 29 18:46:07 2021 GMT
> > CRL extensions:
> > X509v3 CRL Number:
> > 5
> > Revoked Certificates:
> > Serial Number: 0A
> > Revocation Date: Nov 1 18:42:17 2011 GMT
> > Serial Number: 2E
> > Revocation Date: Nov 1 18:45:20 2011 GMT
> > Serial Number: 38
> > Revocation Date: Nov 1 18:40:49 2011 GMT
> > Signature Algorithm: sha256WithRSAEncryption
> > ce:03:8c:b3:a9:f1:b3:4d:55:38:d0:17:bd:36:b4:5c:2c:7f:
> > 10:a2:c6:10:d6:2f:09:59:68:f5:7b:82:32:46:2c:50:a9:9a:
> > 10:75:f6:81:b1:29:6b:89:1c:36:88:3d:ff:c4:5e:cb:be:5f:
> > df:1a:0c:74:2c:b0:63:c7:9d:f6:37:13:45:40:a7:12:32:c4:
> > 82:c2:78:50:f0:a8:8e:ff:fe:61:56:1b:0a:1d:1c:e0:ed:4e:
> > 86:2c:4b:75:cf:35:b5:78:7b:72:48:f7:32:40:60:78:fb:ec:
> > 89:a8:7a:27:8a:95:56:ad:9e:a6:12:de:c7:17:9f:93:38:81:
> > 73:3d:93:2c:63:ce:b4:3b:4f:30:3d:53:19:ae:5f:3e:98:92:
> > cc:a9:e9:a7:93:8f:a9:61:bc:39:44:67:4b:e6:3b:4e:32:c3:
> > 19:de:01:90:e9:5e:15:63:ae:38:9c:4d:30:9f:06:a1:20:60:
> > 59:d7:21:23:c9:18:49:e1:8c:ae:23:8a:ca:c1:dc:6a:41:cb:
> > b4:83:23:c0:b5:62:2e:96:cb:9a:ba:04:02:1e:62:ab:ff:9d:
> > b5:d4:c9:37:8a:cf:23:9a:93:54:bb:ad:04:23:43:90:cb:2d:
> > 78:b6:58:64:8c:4a:74:7d:f9:cc:41:45:98:12:39:a7:88:35:
> > 73:2f:28:f8
> > -----BEGIN X509 CRL-----
> > MIIBvTCBpgIBATANBgkqhkiG9w0BAQsFADAmMQswCQYDVQQGEwJVQTEXMBUGA1UE
> > AwwOY2EuZmluc29mdC5iaXoXDTExMTEwMTE4NDYwN1oXDTIxMTAyOTE4NDYwN1ow
> > PDASAgEKFw0xMTExMDExODQyMTdaMBICAS4XDTExMTEwMTE4NDUyMFowEgIBOBcN
> > MTExMTAxMTg0MDQ5WqAOMAwwCgYDVR0UBAMCAQUwDQYJKoZIhvcNAQELBQADggEB
> > AM4DjLOp8bNNVTjQF702tFwsfxCixhDWLwlZaPV7gjJGLFCpmhB19oGxKWuJHDaI
> > Pf/EXsu+X98aDHQssGPHnfY3E0VApxIyxILCeFDwqI7//mFWGwodHODtToYsS3XP
> > NbV4e3JI9zJAYHj77ImoeieKlVatnqYS3scXn5M4gXM9kyxjzrQ7TzA9UxmuXz6Y
> > ksyp6aeTj6lhvDlEZ0vmO04ywxneAZDpXhVjrjicTTCfBqEgYFnXISPJGEnhjK4j
> > isrB3GpBy7SDI8C1Yi6Wy5q6BAIeYqv/nbXUyTeKzyOak1S7rQQjQ5DLLXi2WGSM
> > SnR9+cxBRZgSOaeINXMvKPg=
> > -----END X509 CRL-----
> >
> >
> >
> > Объясните плз, что не так.
> > Благодарю.
> >
> > --
> > Think before you print.
> > Best regards, Alexey Bobok.
> >
>
>
>
> --
> Think before you print.
> Best regards, Alexey Bobok.
>
--
Think before you print.
Best regards, Alexey Bobok.
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20111108/674a2a86/attachment-0001.html>
Подробная информация о списке рассылки nginx-ru