我的nginx服务器已成功验证了大多数(预期)客户端证书,但是一些较旧的客户端证书却收到“ 400 Bad Request SSL SSL error”并生成此日志条目-“ client SSL certificate verify error:(68:CA签名摘要算法太弱)”
有没有办法允许较早的签名摘要算法?
运行openssl list -digest-algorithms会显示sha1RSA,但它不包含在TLSv1.2-握手协议-证书请求消息中。
版本: -头盔图表Nginx-ingress v1.1.3 -Nginx入口控制器v0.21.0 -Nginx v1.15.6 -openssl 1.1.1
-更新-
要验证使用弱摘要算法签名的客户端证书,请将@SECLEVEL=0附加到您的ssl_ciphers列表中,即ssl_ciphers 'HIGH:!aNULL:!MD5@SECLEVEL=0';
我不了解@SECLEVEL的全部含义,所以最好的解决方案是推送更新的客户端证书!