Welcome! Log In Create A New Profile

Re: на гост-сертификате nginx отдает 2 экземпляра сертификата

Forum List Message List New Topic Print View

Maxim Dounin

June 05, 2018 09:28AM

Hello!

On Tue, Jun 05, 2018 at 05:37:50PM +0500, Илья Шипицин wrote:

> привет!
>
> включили на openssl-1.1.0 поддержку gost engine.
>
> (в принципе, подобрали параметры, что все более или менее работает)
>
> забавный артефакт, сертификат отдается 2 раза
>
> есть идеи, почему так ? (в конфиге прописан 1 раз)
>
> /usr/local/bin/openssl s_client -connect medi-api.testkontur.ru -port 443
> CONNECTED(00000003)
> depth=0 emailAddress = chipitsine@skbkontur.ru, C = RU, ST = 66
> \D0\A1\D0\B2\D0\B5\D1\80\D0\B4\D0\BB\D0\BE\D0\B2\D1\81\D0\BA\D0\B0\D1\8F
> \D0\BE\D0\B1\D0\BB\D0\B0\D1\81\D1\82\D1\8C, L =
> \D0\95\D0\BA\D0\B0\D1\82\D0\B5\D1\80\D0\B8\D0\BD\D0\B1\D1\83\D1\80\D0\B3, O
> = \D0\90\D0\9E \C2\AB\D0\9F\D0\A4 \C2\AB\D0\A1\D0\9A\D0\91
> \D0\9A\D0\BE\D0\BD\D1\82\D1\83\D1\80\C2\BB, CN = *.testkontur.ru
> verify error:num=20:unable to get local issuer certificate
> verify return:1
> depth=0 emailAddress = chipitsine@skbkontur.ru, C = RU, ST = 66
> \D0\A1\D0\B2\D0\B5\D1\80\D0\B4\D0\BB\D0\BE\D0\B2\D1\81\D0\BA\D0\B0\D1\8F
> \D0\BE\D0\B1\D0\BB\D0\B0\D1\81\D1\82\D1\8C, L =
> \D0\95\D0\BA\D0\B0\D1\82\D0\B5\D1\80\D0\B8\D0\BD\D0\B1\D1\83\D1\80\D0\B3, O
> = \D0\90\D0\9E \C2\AB\D0\9F\D0\A4 \C2\AB\D0\A1\D0\9A\D0\91
> \D0\9A\D0\BE\D0\BD\D1\82\D1\83\D1\80\C2\BB, CN = *.testkontur.ru
> verify error:num=21:unable to verify the first certificate
> verify return:1
> ---

А какие основания считать, что сертификат отдаётся два раза, кроме
того факта, что s_client для одного и того сертификата - сообщает
о двух ошибках? Он и больше умеет, и всё для одного сертификата:

$ openssl s_client -connect mdounin.ru:443
CONNECTED(00000003)
depth=0 CN = mdounin.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = mdounin.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = mdounin.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=mdounin.ru
i:/O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing Authority/emailAddress=support@cacert.org
---
...

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Reply Quote

RSS

Subject	Author	Posted
на гост-сертификате nginx отдает 2 экземпляра сертификата	Илья Шипицин	June 05, 2018 08:40AM
Re: на гост-сертификате nginx отдает 2 экземпляра сертификата	Maxim Dounin	June 05, 2018 09:28AM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 298

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018