Re: 400 Bad RequestThe SSL certificate error
все получилось))) поменял MD5 на sha256 пользовался вот это инструкцией https://habrahabr.ru/post/349720/ СПАСИБО Posted at Nginx Forum: https://forum.nginx.org/read.php?21,278799,278815#msg-278815 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: 400 Bad RequestThe SSL certificate error
nginx version: nginx/1.12.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) built with OpenSSL 1.0.2k-fips 26 Jan 2017 TLS SNI support enabled Posted at Nginx Forum: https://forum.nginx.org/read.php?21,278799,278813#msg-278813 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: 400 Bad RequestThe SSL certificate error
Hello! On Tue, Feb 27, 2018 at 11:17:40AM -0500, monah1983 wrote: > [Tue Feb 27 15:27:04.404778 2018] [mpm_prefork:notice] [pid 2298] AH00163: > Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.6.30 > configured -- resuming normal operations [...] Это всё имеет мало отношения к nginx'у, так как приведён лог от Apache, но если в системе действительно используется OpenSSL-fips, то это может накладывать массу неочевидных ограничений, жить с которыми - может оказаться нетривальным. В данном случае - возможно, дело в том, что вы сгенерили сертификат с использованием MD5 в подписи, и это приводит к ошибкам, потому что в OpenSSL-fips нет MD5. Если это так, то в данном случае FIPS-ограничения всё сделали правильно: не надо использовать сертификаты с MD5, это небезопасно. Впрочем, в современных версиях OpenSSL ошибка тоже была бы, и была бы куда более читаемой. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: 400 Bad RequestThe SSL certificate error
Hello!
On Tue, Feb 27, 2018 at 10:51:46AM -0500, monah1983 wrote:
> 2018/02/27 17:07:51 [alert] 6852#6852: *36 ignoring stale global SSL error
> (SSL: error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message
> digest algorithm) while waiting for request, client: 00, server:
> 00:443
> 2018/02/27 17:22:56 [alert] 6852#6852: *350 ignoring stale global SSL error
> (SSL: error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message
> digest algorithm) while waiting for request, client: , server: 000:443
Проверьте, с какой версией OpenSSL собран nginx ("nginx -V"), и что
именно используется в сертификатах ("openssl x509 -text -noout -in ").
Если я правильно понимаю, такие ошибки будут, например, если
пытаться использовать OpenSSL 0.9.7 с современными сертификатами,
подписанными с помощью SHA256. С другой стороны - непонятно,
откуда в современном мире может взяться OpenSSL 0.9.7, так что
возможно, вы сделали что-то экзотическое при генерации
сертификата.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: 400 Bad RequestThe SSL certificate error
Hello! On Tue, Feb 27, 2018 at 10:50:26AM -0500, monah1983 wrote: > а где именно искать этот лог? В сообщении, на которое вы отвечали, директива "error_log" была процитирована не просто так. Отмечу также, что в ней уровень логгирования был установлен в "error", а нужно - "info". -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: 400 Bad RequestThe SSL certificate error
[Tue Feb 27 15:27:04.404778 2018] [mpm_prefork:notice] [pid 2298] AH00163: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.6.30 configured -- resuming normal operations [Tue Feb 27 15:27:04.404824 2018] [core:notice] [pid 2298] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND' [Tue Feb 27 16:00:24.650271 2018] [mpm_prefork:notice] [pid 2298] AH00170: caught SIGWINCH, shutting down gracefully [Tue Feb 27 16:00:25.875222 2018] [suexec:notice] [pid 3500] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Tue Feb 27 16:00:25.876857 2018] [ssl:warn] [pid 3500] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366) [Tue Feb 27 16:00:25.894014 2018] [so:warn] [pid 3500] AH01574: module ruid2_module is already loaded, skipping [Tue Feb 27 16:00:25.987414 2018] [auth_digest:notice] [pid 3500] AH01757: generating secret for digest authentication ... [Tue Feb 27 16:00:25.989736 2018] [ssl:warn] [pid 3500] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366) [Tue Feb 27 16:00:25.991203 2018] [:notice] [pid 3500] mod_ruid2/0.9.8 enabled [Tue Feb 27 16:00:26.130481 2018] [mpm_prefork:notice] [pid 3500] AH00163: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.6.30 configured -- resuming normal operations [Tue Feb 27 16:00:26.130545 2018] [core:notice] [pid 3500] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND' Posted at Nginx Forum: https://forum.nginx.org/read.php?21,278799,278807#msg-278807 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: 400 Bad RequestThe SSL certificate error
2018/02/27 17:07:51 [alert] 6852#6852: *36 ignoring stale global SSL error (SSL: error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm) while waiting for request, client: 00, server: 00:443 2018/02/27 17:22:56 [alert] 6852#6852: *350 ignoring stale global SSL error (SSL: error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm) while waiting for request, client: , server: 000:443 Posted at Nginx Forum: https://forum.nginx.org/read.php?21,278799,278806#msg-278806 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: 400 Bad RequestThe SSL certificate error
а где именно искать этот лог? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,278799,278805#msg-278805 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
