Re: на гост-сертификате nginx отдает 2 экземпляра сертификата

Maxim Dounin mdounin на mdounin.ru
Вт Июн 5 13:26:47 UTC 2018 

Hello!

On Tue, Jun 05, 2018 at 05:37:50PM +0500, Илья Шипицин wrote:

> привет!
> 
> включили на openssl-1.1.0 поддержку gost engine.
> 
> (в принципе, подобрали параметры, что все более или менее работает)
> 
> забавный артефакт, сертификат отдается 2 раза
> 
> есть идеи, почему так ? (в конфиге прописан 1 раз)
> 
> /usr/local/bin/openssl s_client -connect medi-api.testkontur.ru -port 443
> CONNECTED(00000003)
> depth=0 emailAddress = chipitsine at skbkontur.ru, C = RU, ST = 66
> \D0\A1\D0\B2\D0\B5\D1\80\D0\B4\D0\BB\D0\BE\D0\B2\D1\81\D0\BA\D0\B0\D1\8F
> \D0\BE\D0\B1\D0\BB\D0\B0\D1\81\D1\82\D1\8C, L =
> \D0\95\D0\BA\D0\B0\D1\82\D0\B5\D1\80\D0\B8\D0\BD\D0\B1\D1\83\D1\80\D0\B3, O
> = \D0\90\D0\9E \C2\AB\D0\9F\D0\A4 \C2\AB\D0\A1\D0\9A\D0\91
> \D0\9A\D0\BE\D0\BD\D1\82\D1\83\D1\80\C2\BB, CN = *.testkontur.ru
> verify error:num=20:unable to get local issuer certificate
> verify return:1
> depth=0 emailAddress = chipitsine at skbkontur.ru, C = RU, ST = 66
> \D0\A1\D0\B2\D0\B5\D1\80\D0\B4\D0\BB\D0\BE\D0\B2\D1\81\D0\BA\D0\B0\D1\8F
> \D0\BE\D0\B1\D0\BB\D0\B0\D1\81\D1\82\D1\8C, L =
> \D0\95\D0\BA\D0\B0\D1\82\D0\B5\D1\80\D0\B8\D0\BD\D0\B1\D1\83\D1\80\D0\B3, O
> = \D0\90\D0\9E \C2\AB\D0\9F\D0\A4 \C2\AB\D0\A1\D0\9A\D0\91
> \D0\9A\D0\BE\D0\BD\D1\82\D1\83\D1\80\C2\BB, CN = *.testkontur.ru
> verify error:num=21:unable to verify the first certificate
> verify return:1
> ---

А какие основания считать, что сертификат отдаётся два раза, кроме 
того факта, что s_client для одного и того сертификата - сообщает 
о двух ошибках?  Он и больше умеет, и всё для одного сертификата:

$ openssl s_client -connect mdounin.ru:443
CONNECTED(00000003)
depth=0 CN = mdounin.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = mdounin.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = mdounin.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=mdounin.ru
   i:/O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing Authority/emailAddress=support at cacert.org
---
...

-- 
Maxim Dounin
http://mdounin.ru/

Подробная информация о списке рассылки nginx-ru