Re: Как различить SSL сертификаты, выданные различными промежуточными ЦС собщим корневым ЦС?
Maximus43
nginx-forum на nginx.us
Вт Сен 13 11:50:54 UTC 2011
Rush Wrote:
-------------------------------------------------------
> Проверьте, что вы всё
> сделали правильно с
> помощью утилиты openssl.
> Когда убедитесь, что
> проблема именно со стороны
> nginx, высылайте
> конфиги.
Что именно мне проверять?
Пользовательский сертификат указывает
на родительский, отпечатки совпадают,
расширения CDP и AIA валидные, CRL на
ресурсе доступен и тоже валидный, хотя
nginx это не проверяет. Родительский
сертификат указывает на корневой, тоже
все расширения в порядке.
Вот конфиг, хотя там все стандартно,
проблема возникает ДО того, как ответ
передается бэкенду:
$ cat /etc/nginx/sites-enabled/ssl_test
server {
### server port and name ###
listen xxx.xxx.xxx.xxx:443;
server_name xxxxxxxxxxxx.ru;
ssl on ;
### SSL log files ###
access_log off;
# error_log /var/log/nginx/ssl-test.log debug;
### SSL cert files ###
ssl_certificate /root/certs/test.crt;
ssl_certificate_key /root/certs/test.key;
ssl_client_certificate /root/certs/test_chain.crt;
ssl_verify_client on;
ssl_verify_depth 2;
### Add SSL specific settings here ###
keepalive_timeout 70;
ssl_session_timeout 10m;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers
AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
ssl_session_cache shared:SSL:10m;
location / {
proxy_set_header X-FORWARDED_PROTO https;
fastcgi_param HTTPS on;
fastcgi_param SSL_PROTOCOL $ssl_protocol;
fastcgi_param SSL_CIPHER $ssl_cipher;
fastcgi_param SSL_SESSION_ID $ssl_session_id;
fastcgi_param SSL_CLIENT_VERIFY $ssl_client_verify;
proxy_pass http://192.168.1.203;
include /etc/nginx/proxy.conf;
}
}
Posted at Nginx Forum: http://forum.nginx.org/read.php?21,215034,215146#msg-215146
Подробная информация о списке рассылки nginx-ru