Rush Wrote:
-------------------------------------------------------
> Проверьте, что вы всё
> сделали правильно с
> помощью утилиты openssl.
> Когда убедитесь, что
> проблема именно со стороны
> nginx, высылайте
> конфиги.
Что именно мне проверять? Пользовательский сертификат указывает на родительский, отпечатки совпадают, расширения CDP и AIA валидные, CRL на ресурсе доступен и тоже валидный, хотя nginx это не проверяет. Родительский сертификат указывает на корневой, тоже все расширения в порядке.
Вот конфиг, хотя там все стандартно, проблема возникает ДО того, как ответ передается бэкенду:
$ cat /etc/nginx/sites-enabled/ssl_test
server {
### server port and name ###
listen xxx.xxx.xxx.xxx:443;
server_name xxxxxxxxxxxx.ru;
ssl on ;
### SSL log files ###
access_log off;
# error_log /var/log/nginx/ssl-test.log debug;
### SSL cert files ###
ssl_certificate /root/certs/test.crt;
ssl_certificate_key /root/certs/test.key;
ssl_client_certificate /root/certs/test_chain.crt;
ssl_verify_client on;
ssl_verify_depth 2;
### Add SSL specific settings here ###
keepalive_timeout 70;
ssl_session_timeout 10m;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
ssl_session_cache shared:SSL:10m;
location / {
proxy_set_header X-FORWARDED_PROTO https;
fastcgi_param HTTPS on;
fastcgi_param SSL_PROTOCOL $ssl_protocol;
fastcgi_param SSL_CIPHER $ssl_cipher;
fastcgi_param SSL_SESSION_ID $ssl_session_id;
fastcgi_param SSL_CLIENT_VERIFY $ssl_client_verify;
proxy_pass http://192.168.1.203;
include /etc/nginx/proxy.conf;
}
}