При попытке настроить сервер nginx с включенной поддержкой SSL с подтверждением клиента на
у меня возникла ошибка заголовка из браузера.
Ниже мой nginx.conf:
keepalive_timeout 100;
server_tokens off;
server {
listen 10.111.1.11:11111;
server_name localhost;
ssl on;
ssl_certificate ca.crt;
ssl_certificate_key newca.key;
ssl_client_certificate client.crt;
ssl_verify_client on;
location / {
root html;
index index.html index.htm;
proxy_ssl_session_reuse off;
proxy_pass http://10.111.1.11::1234;
proxy_ssl_name 10.111.1.11;
proxy_ssl_server_name on;
proxy_ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
proxy_ssl_ciphers HIGH:!aNULL:!MD5;
proxy_ssl_certificate ca.crt;
proxy_ssl_certificate_key newca.key;
}
}
и ниже - мои шаги по созданию сертификатов и ключей:
Создание ключа CA и сертификата для подписания клиентских сертификатов
openssl genrsa -des3 -out ca.key 4096
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
Создать ключ клиента и CSR
openssl genrsa -des3 -out client.key 4096
openssl req -new -key client.key -out client.csr
Имя моей организации, общее имя, адрес электронной почты различаются для значений ca.crt и client.crt
Общее имя для ca.crt - IP-адрес сервера
Общее имя для client.crt - IP-адрес клиента
Подпишите сертификат клиента с нашим сертификатом CA
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
Конвертировать в .p12, чтобы импорт в OSX работал
openssl pkcs12 -export -clcerts -inkey client.key -in client.crt -out client.p12 -name "MyKey"
Удалена ключевая фраза для ключей ca и client
openssl rsa -in ca.key -out newca.key
openssl rsa -in client.key -out newclient.key
Я попытался загрузить client.crt и client.p12 в свой браузер в качестве доверенных корневых центров сертификации, но все еще безрезультатно (та же ошибка).
Какие-нибудь советы?