И снова по TLS и аутентификации

Вт Июн 27 11:18:57 UTC 2017

Здравствуйте, коллеги.

Никак не могу побороть авторизацию по сертификатам, получаю ошибку "client
SSL certificate verify error: (3:unable to get certificate CRL)". Этот и
другие форумы пересмотрел, всё не то.

Конфиг:
==================
        ssl    on;
        ssl_certificate      /etc/pki/tls/certs/mail2.local.cer;
        ssl_certificate_key  /etc/pki/tls/private/private.key;
        ssl_session_timeout  5m;
        ssl_protocols  SSLv2 SSLv3 TLSv1;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers   on;

        ssl_trusted_certificate /etc/pki/tls/certs/chain.cer; # сертификаты
CA1 и CA0
        ssl_client_certificate /etc/pki/tls/certs/ca1.cer; # только
сертификат CA1
        ssl_crl /etc/pki/tls/certs/ca1.crl; # только CRL от CA1
        ssl_verify_client on;
        ssl_verify_depth 1;
==================
Сертификаты, CRL - всё живое:

openssl crl -CAfile CA1.cer -in CA1.crl
verify OK

openssl verify -CAfile CA0.cer CA1.cer
verify OK

openssl verify -CAfile chain.cer client1.cer
verify OK

- и всё равно неизменно ошибка. 

Если убрать параметр ssl_crl, получаю "client SSL certificate verify error:
(27:certificate not trusted)"

CA0 - корневой ЦС, CA1 - промежуточный ЦС, который выдал сертификат клиенту
(виндовый, AD 2012). 
Сертификаты CA0 и CA1 добавлены в доверенные на сервере.
CentOS 6.8, nginx/1.8.1, OpenSSL 1.0.1e-fips
SMTP и IMAP на этом же сервере с тем же набором сертификатов - клиенты по
сертификатам прекрасно авторизуются.

Куда ещё копнуть, подскажите? Спасибо.

Posted at Nginx Forum: https://forum.nginx.org/read.php?21,275146,275146#msg-275146