Проверка подлинности ssl-клиента не удалась в nginx
Я пытаюсь настроить аутентификацию клиента ssl в nginx. Я создал самозаверяющий корневой CA. Используя это, я создал суб-CA. Я использовал этот суб-CA для создания сертификата для клиента. Я объединил суб-CA и корневой CA в новый файл. Я проверил сертификат клиента следующим образом:
$ openssl verify -purpose sslclient -CAfile auth-root.crt testcert.crt
testcert.crt: OK
auth-root.crt - конкатенированный подчиненный и корневой CA; testcert.crt - это сертификат клиента.
Я указал nginx на auth-root.crt, используя ssl_client_certificate
,
Когда я делаю HTTP-запрос с использованием сертификата testcert.crt, nginx завершается ошибкой. Я включил журналы отладки и вижу следующее:
2012/06/21 22:58:47 [debug] 8901#0: *2 verify:0, error:2, depth:1, subject:"/C=US/ST=Florida/L=Tampa/O=Test org/OU=Test OU/CN=AuthCerts TestCA",issuer: "/C=US/ST=Florida/L=tampa/O=Test org/OU=Test OU/CN=Root TestCA"
2012/06/21 22:58:47 [debug] 8901#0: *2 verify:0, error:27, depth:1, subject:"/C=US/ST=Florida/L=Tampa/O=Test org/OU=Test OU/CN=AuthCerts TestCA",issuer: "/C=US/ST=Florida/L=tampa/O=Test org/OU=Test OU/CN=Root TestCA"
2012/06/21 22:58:47 [debug] 8901#0: *2 verify:1, error:27, depth:0, subject:"/C=US/ST=Florida/L=Tampa/O=Accelerated Concepts/OU=NetBridge/CN=030202",issuer: "/C=US/ST=Florida/L=Tampa/O=Test org/OU=Test OU/CN=AuthCerts TestCA"
1 ответ
Вам нужно использовать ssl_verify_depth
директива установлена по крайней мере 2
поскольку ваша цепочка сертификатов требует двух прыжков. Для каждого другого под-CA между корневым и клиентским сертификатами вам нужно увеличить это число на единицу.