Добрый день, подскажите, пожалуйста, в чём моя ошибка, если она есть.
Я выполнил первоначальную конфигурацию nginx с поддержкой проверки клиентских сертификатов.
Проверка сертификатов работает, если не включать директиву ssl_crl
[root@almaz /usr/local/nginx/conf]# uname -sr
FreeBSD 7.0-RELEASE
[root@almaz /usr/local/nginx/conf]# nginx -t
the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@almaz /usr/local/nginx/conf]# nginx -V
nginx version: nginx/0.8.13
built by gcc 4.2.1 20070719 [FreeBSD]
configure arguments: --with-http_ssl_module
[root@almaz /usr/local/nginx/conf]# openssl version
OpenSSL 0.9.8e 23 Feb 2007
[root@almaz /usr/local/nginx/conf]# grep -i ssl nginx.conf
ssl on;
#ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
ssl_certificate /usr/local/nginx/conf/almaz.pem;
ssl_certificate_key /usr/local/nginx/conf/almaz.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_client_certificate /usr/local/nginx/conf/chain.pem;
ssl_crl /usr/local/nginx/conf/crl.crl;
ssl_verify_client on;
ssl_verify_depth 2;
[root@almaz /usr/local/nginx/conf]# openssl crl -CAfile chain.pem -inform PEM -in crl.crl -lastupdate -nextupdate -noout
verify OK
lastUpdate=Sep 10 06:53:35 2009 GMT
nextUpdate=Sep 17 19:13:35 2009 GMT
обновляю страницу и получаю ошибку проверки сертификата.
[root@almaz /usr/local/nginx/conf]# less ../logs/error.log | tail -n 1
2009/09/10 22:08:46 [info] 7261#0: *2 client SSL certificate verify error: (3:unable to get certificate CRL) while reading client request headers, client: *.*.106.15, server: almaz.*.ru, request: "GET / HTTP/1.1", host: "almaz.*.ru"
[root@almaz /usr/local/nginx/conf]#
С уважением, Павлов Михаил.
Администратор информационных систем
отдела администрирования информационных систем
департамента информационных технологий.
ООО "Топ-Книга"
7-(383)-336-10-36 /1591
malto:m.pavlov@top-kniga.ru