Здравствуйте, Ualde. Вы писали 23 декабря 2014 г., 13:31:02:
> Здравствуйте > Используем nginx уже достаточно давно, однако, теперь решили использовать и > SSL (до этого защищенное соединение не требовалось). > Для начала решили все опробовать с самоподписанными сертификатами. > Но возникает следующая проблема, тестовый сайт не открывается клиентом в > Google Chrome, Firefox, и при этом открывается в Internet Explorer. > 400 Bad Request > No required SSL certificate was sent > ssl on; > ssl_certificate /etc/nginx/server.crt; > ssl_certificate_key /etc/nginx/server.key; > > ssl_verify_client on; > ssl_client_certificate /etc/nginx/ca.crt; 1) Сделайте файл server.cert, примерно так: cat server.crt > server.cert echo "" >> server.cert cat ca.crt >> server.cert 2) Используйте его вместо server.crt в ssl_certificate. Т.е. ssl_certificate /etc/nginx/server.cert; Т.е. это будет основной сертификат + "промежуточные", т.е. ваш CA-сертификат будет отправляться клиенту, и страница отобразится/клиент сможет добавить СА в доверенные. http://nginx.org/ru/docs/http/ngx_http_ssl_module.html#ssl_certificate 3) Если вы на самом деле не собираетесь никого сертификатами авторизовывать, то директивы не нужны: ssl_verify_client on; ssl_client_certificate /etc/nginx/ca.crt; Вся проблема у вас из-за них, т.к. от клиента требуют авторизацию, а авторизоваться он не может. Ну и в предыдущем письме Вам написали про места хранения сертификатов. Бонусы: - Для создания сертификатов / управления CA удобно использовать консольные скрипты easy-rsa/2.0, которые идут в комплекте с openvpn. - http://security.ncsa.illinois.edu/research/grid-howtos/usefulopenssl.html - http://www.fixyourip.com/library/openssl/openssl_howto.php -- С уважением, Pavel mailto:[email protected] _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
