ssl renegotiation on nginx 1.13.+

Mike Patutin mpatutin на gmail.com
Сб Сен 16 20:52:05 UTC 2017


Немного странный вопрос, в чем смысл renegotiation на backend коннектах и
для чего это нужно?

Можно ли применить эти изменения для реализации следующей схемы:

Клиентом является железка, которая умеет ssl соединение с сервером
управления (tomcat).
Железка сначала регистрируется на сервере, и он ей отдает сертификат,
который в последующем используется для  ее авторизации.
Т.е на определенный URL можно сделать запрос по https без корретного
сертификата, на другие - нет
В первый момент железка делает запрос с собственным сертификатом,
выполяняются определенные действия, передается корректный сертификат
авторизации, а потом томкат вызывает тот самый renegotiation и дальнейший
обмен не может быть выполнен без авторизации по сертификату.
Поменять поведение железки - не могу в принципе (жесточайшее legacy, причем
часть просто не обновляемая в принципе)
Томкатом в определенных пределах могу управлять.
Железок много, приходится делать балансировщик. И вот тут я столкнулся с
невозможностью пробросить ssl renegotiation c бекенда на клиента.

Я правильно понимаю что заявленный функционал в 1.13 предназначен для
реализации подобной схемы, или это не так?
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20170916/94ec27f9/attachment.html>


Подробная информация о списке рассылки nginx-ru