Я пытаюсь добавить поддержку CRL в мой прокси-сервер nginx, и, похоже, он не работает из-за следующей ошибки:
Клиентский сертификат проверки сертификата SSL: (3: невозможно получить сертификат CRL) при чтении заголовков клиентских запросов
Из моего исследования это связано с тем, что nginx обнаруживает отсутствующий CRL. Но вот структура моего сертификата клиента (в нем есть полная цепочка сертификатов):
Certificate:
Data:
...
X509v3 extensions:
...
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
Certificate:
Data:
...
X509v3 extensions:
...
X509v3 CRL Distribution Points:
Full Name:
URI:http://uri1
Certificate:
Data:
...
X509v3 extensions:
...
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
Certificate:
Data:
...
X509v3 extensions:
...
X509v3 CRL Distribution Points:
Full Name:
URI:http://uri2
URI:http://uri3
URI:http://uri4
Я предпринимаю следующие шаги:
- curl и конвертирую вывод из
url1 в PEM. - свернуть и преобразовать выходные данные из
url2 в PEM. - Конкатировать два выхода в один файл.
- Указать этот файл в nginx config для
ssl_crl.
Но я получаю вышеуказанную ошибку.
Есть мысли о том, что я делаю неправильно? Насколько я понимаю, я должен быть в состоянии безопасно игнорировать url3 и url4.
Любые мысли? Спасибо!