Здравствуйте, Ualde.

Вы писали 23 декабря 2014 г., 13:31:02:

> Здравствуйте

> Используем nginx уже достаточно давно, однако, теперь решили использовать и
> SSL (до этого защищенное соединение не требовалось).
> Для начала решили все опробовать с самоподписанными сертификатами.
> Но возникает следующая проблема, тестовый сайт не открывается клиентом в
> Google Chrome, Firefox, и при этом открывается в Internet Explorer.


> 400 Bad Request
> No required SSL certificate was sent

> ssl on;
> ssl_certificate /etc/nginx/server.crt;
> ssl_certificate_key /etc/nginx/server.key;
>
> ssl_verify_client on;
> ssl_client_certificate /etc/nginx/ca.crt;


1) Сделайте файл server.cert, примерно так:

cat server.crt > server.cert
echo "" >> server.cert
cat ca.crt >> server.cert

2) Используйте его вместо server.crt в ssl_certificate. Т.е.

ssl_certificate /etc/nginx/server.cert;

Т.е. это будет основной сертификат + "промежуточные", т.е. ваш CA-сертификат будет отправляться
клиенту, и страница отобразится/клиент сможет добавить СА в доверенные.

http://nginx.org/ru/docs/http/ngx_http_ssl_module.html#ssl_certificate


3) Если вы на самом деле не собираетесь никого сертификатами авторизовывать, то директивы не нужны:

ssl_verify_client on;
ssl_client_certificate /etc/nginx/ca.crt;

Вся проблема у вас из-за них, т.к. от клиента требуют авторизацию, а авторизоваться он не может.

Ну и в предыдущем письме Вам написали про места хранения сертификатов.


Бонусы:

- Для создания сертификатов / управления CA удобно использовать консольные скрипты easy-rsa/2.0,
которые идут в комплекте с openvpn.

- http://security.ncsa.illinois.edu/research/grid-howtos/usefulopenssl.html

- http://www.fixyourip.com/library/openssl/openssl_howto.php


--
С уважением,
Pavel mailto:pavel2000@ngs.ru

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru