Re: Fwd: Авторизация с помощью SSL

[Maxim Dounin]

Hello!

On Sun, Sep 22, 2013 at 06:47:26PM +0000, Андрей Тищенко wrote:

> Здравствуйте.
> Пытаюсь реализовать авторизацию с помощью SSL сертификатов, но получаю
> ошибку:
> 400 Bad Request
> The SSL certificate error
> 
> Схема подписи:
> CA -> Промежуточный CA -> клиентский сертификат.
> Насколько я понял, проблема именно в том, что клиентский сертификат
> подписан промежуточным центром сертификации, а не корневым (при подписи
> корневым все было нормальноe).
> 
> server {
>   listen 456;
>   ssl on;
>   ssl_certificate /var/www/client/data/www/client.ru/ssl/ca.crt;
>   ssl_certificate_key /var/www/client/data/www/client.ru/ssl/ca.key;
>   ssl_client_certificate /var/www/client/data/www/client.ru/ssl/pca.crt;
>   ssl_verify_client optional;
> 
> ...
> }

Как минимум, в конфиге не видно директивы ssl_verify_depth, 
которая по умолчанию 1 - и цепочки сертификатов работать не будут.  
Подробнее - http://nginx.org/r/ssl_verify_depth.

Ну и как уже отметили, сертификат промежуточного CA следует 
положить в файл, на который указывает директива 
ssl_client_certificate (или ssl_trusted_certificate).  Т.к. 
клиентов, присылающих цепочку сертификатов, скорее всего не 
бывает.

А вообще - не забывайте заглядывать в error_log, там обычно есть 
подробности.

-- 
Maxim Dounin
http://nginx.org/en/donation.html