MTLS NGINX CERT_E_UNTRUSTEDROOT

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

MTLS NGINX CERT_E_UNTRUSTEDROOT

Опции

Предыдущая тема Следующая тема

astakhov03		#1 Оставлено : 3 августа 2022 г. 13:45:05(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 13.01.2022(UTC) Сообщений: 1		Добрый день. Прошу помощи по построение MTLS Собирали по статье https: //support.cryptopro.ru/index.php? /Knowledgebase/Article/View/333/10/sbork-i-nstrojjk-nginx-c-podderzhkojj-gost-tls patch: \|ng-nginx.1.18.0.f03.patch конфиг nginx (nginx.1.18.0) запускается под юзером nginx Цитата: server { listen 443; server_name sitename; sspi on; # включаем sspi для этой секции server sspi_certificate 0x01E1DBC300E1AEF3SDAB198AF3C0D584F9; sspi_protocols TLSv1.2; sspi_verify_client on; sspi_client_certificate TrustedCerts; access_log /var/log/nginx/sitename-access.log main; error_log /var/log/nginx/sitename-error.log debug; location / { proxy_pass http://localhost:8080; } } Сертификат Клиента Цитата: Serial : SHA1 Thumbprint : SubjKeyID : Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits) Not valid before : 14/07/2022 08:37:12 UTC Not valid after : 14/07/2023 08:41:59 UTC PrivateKey Link : Yes Container : HDIMAGE\\6424144519.000\D9C9 Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0 Identification Kind : Without personal presence by qualified signature OCSP URL : http://pki.sertum-pro.ru/ocspqca2012/ocsp.srf OCSP URL : http://pki2.sertum-pro.ru/ocspqca2012/ocsp.srf CA cert URL : http://ca.sertum-pro.ru/...es/sertum-pro-q-2022.crt CA cert URL : http://ca.sertum.ru/cert...es/sertum-pro-q-2022.crt CDP : http://ca.sertum-pro.ru/cdp/sertum-pro-q-2022.crl CDP : http://ca.sertum.ru/cdp/sertum-pro-q-2022.crl Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента 1.2.643.2.2.34.6 1.3.6.1.5.5.7.3.4 Защищенная электронная почта 1.2.643.3.185.1 1.2.643.3.5.10.2.12 1.2.643.3.7.8.1 Квалифицированный сертификат Сертификат Сервера Цитата: 1------- Issuer : ИНН ЮЛ=7717107991, ОГРН=1037700085444, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro TLS CA Subject : CN=sitename.ru Serial : SHA1 Thumbprint : SubjKeyID : Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits) Not valid before : 29/07/2022 11:43:06 UTC Not valid after : 29/07/2023 11:53:06 UTC PrivateKey Link : Yes Container : HDIMAGE\\te-ff3rfsa1.000\ Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0 CA cert URL : http://cdp.cryptopro.ru/ra/aia/tlsca.p7b CA cert URL : http://tlsca2012.cryptop...7dd2675533f3c1c19c48.crt CDP : http://cdp.cryptopro.ru/...7dd2675533f3c1c19c48.crl CDP : http://tlsca2012.cryptop...7dd2675533f3c1c19c48.crl Extended Key Usage : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера Были установлены корневые сертификаты в хранилище uTrustedCerts под пользователем nginx ``` CA cert URL : http://ca.sertum-pro.ru/...es/sertum-pro-q-2022.crt CA cert URL : http://ca.sertum.ru/cert...es/sertum-pro-q-2022.crt но при заходе на сайт клиент получает ошибку Цитата: curl: (35) schannel: next InitializeSecurityContext failed: SEC_E_INTERNAL_ERROR (0x80090304) - The Local Security Authority cannot be contacted если отключить sspi_verify_client то сайт открывается нормально .


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close