Nginx无法获得证书CRL

时间:2013-06-13 12:19:51

标签: nginx

我正在使用 nginx(1.1.9)通过使用客户端证书功能在https上提供debian软件包。

listen 443 ssl;

 ...

 ssl_certificate     /etc/ssl/ca.chain.crt;
 ssl_certificate_key /etc/ssl/server.key;
 #ssl_crl             /etc/ssl/ca-crl.pem;
 ssl_client_certificate  /etc/ssl/ca.pem;
 ssl_verify_client   on; 
 ssl_verify_depth 2;   
 ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1;

 ...

 error_log /var/log/nginx/error.log debug;
 ...

我使用reprepro配置一个apt repo。我可以使用apt-get update更新到这个repo而没有任何错误但是当我注释掉ssl_crl以便使用撤销列表时,Log display:

client SSL certificate verify error: (3:unable to get certificate CRL) while reading client request headers, client: xxx.xxx.xxx.xxx, server: apt.myrepo.com, request: "GET /ubuntu/dists/precise/non-free/i18n/Translation-en HTTP/1.1", host: "apt.myrepo.com"

我不确定为什么nginx可以找到我的证书撤销列表。

1 个答案:

答案 0 :(得分:3)

这是因为 nginx 需要为ssl_client_certificate证书链中提到的每个证书提供CRL,包括根CA的CRL。

当我创建根CA和中间CA以便为Intranet站点生成证书时,我自己就这样做了。当我配置 nginx 以使用SSL客户端身份验证时,我只使用了来自中间CA的CRL。 nginx 需要查看链中每个证书的CRL,包括中间CA,以确保中间CA的证书没有被root用户撤销。将根CRL连接到中间CRL上解决了这个问题。

备注

  • 默认的CRL有效期(default_crl_days)为30天,因此您需要设计一个系统以保持所有内容的最新状态。
  • 感谢this post,我在Google-fu之后发现,这表明我错过了链中的另一个证书。
相关问题
最新问题