Eu tenho o Nginx rodando puramente como um proxy para vários servidores web. Um de nossos clientes nos pediu para usar certificados de cliente e nos forneceu 3 certificados para 3 máquinas diferentes que se conectarão a um serviço da Web em execução em um dos servidores proxy.
Nunca tendo feito isso antes, encontrei as configurações nginx relevantes e criei uma configuração do site (parte relevante abaixo)
server {
listen 443 ssl;
server_name service.domain.com;
ssl_certificate /etc/nginx/ssl/wildcard/server.crt;
ssl_certificate_key /etc/nginx/ssl/wildcard/server.key;
ssl_client_certificate /etc/nginx/ssl/client.certificates/client_package.cer;
ssl_verify_client on;
Eu concatenei os 3 certificados de cliente mais um certificado criado por um desenvolvedor (este foi autoassinado) que precisava acessar o site durante o desenvolvimento no único arquivo mencionado acima.
O cliente já tentou acessar o site, mas não consegue. Como teste da configuração, removi o certificado do desenvolvedor do arquivo de certificado concatenado e confirmei que ele não conseguiu acessar o site. Depois que adicionei seu certificado de volta ao arquivo concatenado, ele (desenvolvedor) conseguiu acessar o site corretamente novamente.
Ativei o acesso de nível de depuração no log de erros e, quando o cliente tentou se conectar, recebi o seguinte erro.
2015/08/13 11:57:41 [info] 27601#0: *1963 o cliente não enviou nenhum certificado SSL necessário durante o processamento do SPDY, cliente: 1x.xx.xx.xx, servidor: service.domain.com, solicitação: " GET /test.cfm HTTP/1.1", host: "service.domain.com"
Como você pode ver na configuração acima, não tenho o SPDY ativado (mas tenho em outros sites) e o cliente me garante que está enviando os certificados do cliente. Como esta é a primeira vez que faço isso, quero ter certeza de que, antes de voltar e dizer que meus logs dizem que você não está enviando um certificado de cliente, tenho tudo correto neste final.
Com relação aos certificados que me foram enviados: Todos os 3 são assinados pela mesma autoridade de certificação pública. No entanto, não tenho toda a cadeia no arquivo concatenado. Os guias que encontrei on-line mencionam ter o root ca também, mas todos falam sobre autoassinado, o que nenhum deles é. Portanto, não tenho certeza se isso se aplica.
Para esclarecer, também não estou tentando passar o certificado do cliente para o servidor proxy.
versão nginx: nginx/1.8.0
versão openssl: OpenSSL 1.0.1k 8 de janeiro de 2015
Se houver mais alguma informação necessária, por favor me avise
Sua configuração está realmente correta. No entanto, certifique-se de NÃO colocar certificados de cliente reais em
client_package.cerarquivo. Este arquivo deve conter apenas certificados de CA confiáveis; na verdade, ele deve conter a(s) cadeia(s) completa(s). Você deve solicitar todos os certificados raiz e intermediários de seu cliente, caso eles não os tenham fornecido.Também existem algumas dicas relacionadas à configuração do servidor padrão. Por favor , leia isto e certifique-se de que não o afeta.
Use
ssl_trusted_certificatediretiva em vez dessl_client_certificate. Consulte os documentos http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_trusted_certificate .De qualquer forma, eu recomendaria assinar todos os certificados de cliente com ONE ROOT CA e verificar se o certificado do cliente está assinado com essa CA.
Se resolveu o seu problema, aceite-o como resposta.
Os certificados SSL são curinga ou domínio único? Talvez o desenvolvedor esteja tentando acessar o URL do site, por exemplo, test.myapp.com, mas o certificado é emitido apenas para myapp.com ou www.myapp.com