Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC)
Сообщений: 112
|
Во всех примерах для включения авторизации клиента по сертификату требуется указать два параметра:
ssl_client_certificate ca.crt; - файл с доверенными сертификатами CA в формате PEM, которые используются для проверки клиентских сертификатов
ssl_verify_client on; on; - собственно, включение авторизации
Но у нас всё не как у людей - цепочка состоит из 3-х (!) удоверяющих центров...
При указании в параметре ssl_client_certificate любого (одного) сертификата УС из цепочки в логах nginx ошибка:
2016/10/03 11:37:25 [info] 2484#3632: *1 client SSL certificate verify error: (21:unable to verify the first certificate) while reading client request headers, client: 10.255.10.11, server: example.com, request: "GET / HTTP/1.1", host: "example.com"
Гугл подсказал, что нужно указать имя *.pem - файла,
но как из 3-х сертификатов ЦА сформировать файл *.pem (p7b nginx не распознаёт, онлайн сервисы сконвертировать p7b с ГОСТ-овскими сертификатами не могут)...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC)
Сообщений: 112
|
Добавил параметр ssl_verify_depth 4; результат прежний: 400 Bad Request The SSL certificate error
nginx/1.10.1 во вложении error.log и nginx.conf  nginx.conf.11013.txt (4kb) загружен 4 раз(а). error.log (28kb) загружен 5 раз(а).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126
Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
|
Windows: copy CA1.crt + CA2.crt + CA3.crt BUNDLE.crt
Linux: cat CA1.crt CA2.crt CA3.crt > BUNDLE.crt
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC)
Сообщений: 112
|
@Aleksandr G*
Проверил Ваш вариант - проблема не исчезла.
Догадываюсь, что это проблема не nginx-а а библиотеки openssl.
Но вот как включить расширенное протоколирование уже для openssl?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.06.2016(UTC) Сообщений: 56   Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 3 постах
|
Аналогичная проблема.
mihmig победили проблему?
Так же пробовал объединить сертификат IntermediateCA и RooCA в один файл. Где два сертификата IntermediateCA - УЦ 1 ИС ГУС и от своего УЦ. RootCA - ГУЦ.
И указывал ssl_verify_depth 4 и ssl_verify_depth 3
Результат такой же:
400 Bad Request
The SSL certificate error
Может нам коллеги с КриптоПро помогут.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: marrow  Может нам коллеги с КриптоПро помогут. Вероятность помощи не будет равна нулю, если ясно и чётко 1) сформулировать задачу 2) описать шаги воспроизведения проблемы. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.06.2016(UTC) Сообщений: 56 Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 3 постах
|
Проблемную задачу описал участник выше - mihmig. Думаю, что он понятно описал. Я добавлю: Раньше стоял SSL сертификат от самоподписанного корневого сертификата - всё работало. Выпустил SSL сертификат от Аккредитованного УЦ, объединил сертификаты IntermediateCA и RooCA в один файл. И в конфиге /etc/nginx/conf.d/gost_ssl.conf указал следующее: # HTTPS server # server { listen 443 ssl; server_name svs.nucrf.ru; proxy_set_header Host $host; # ssl_certificate /usr/local/nginx/svs.nucrf.ru.cer; ssl_certificate /etc/nginx/keys/svs.nucrf.ru.cer; ssl_certificate_key engine:gost_capi:svs.nucrf.ru; ssl_client_certificate /etc/nginx/keys/cert.b64; # ssl_client_certificate /etc/nginx/keys/zaonucpak2.b64.cer; # ssl_certificate /etc/nginx/cert.pem; # ssl_certificate_key /etc/nginx/cert.key; ssl_verify_client on; ssl_verify_depth 4; ssl_session_cache shared:SSL:1m; ssl_session_timeout 15m; ssl_protocols TLSv1; В файле cert.b64 указал сертификаты с кодировкой pem - ssl_client_certificate /etc/nginx/keys/cert.b64; Устанавливает глубину проверки в цепочке клиентских сертификатов - ssl_verify_depth 3 После захожу на сайт, после выбора клиентского сертификата, ошибка - 400 Bad Request The SSL certificate error Отредактировано пользователем 20 апреля 2017 г. 17:38:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.06.2016(UTC) Сообщений: 56 Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 3 постах
|
С такой ошибкой никто не сталкивался?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.06.2016(UTC) Сообщений: 56 Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 3 постах
|
Решил проблему :). Я доволен.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: marrow Решил проблему :). Я доволен. У нас не удалось воспроизвести. Напишите решение или в чём была ошибка -- будет вам благодарность. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
