LINUX.ORG.RU

Ngix upstream ssl verify

 , , ,


0

2

В общем, есть nginx версии 1.8, есть самоподписные сертификаты, которые юзаются на бэках. И на фронте nginx'а хочется эти сертификаты проверять. Устанавливаю proxy_ssl_verify в on, proxy_ssl_trusted_certificate указываю на файл CA, которым эти сертификаты погенеряны. Результат - 502. Я так понимаю, не прошли проверку. Потому как в логах:

upstream SSL certificate verify error: (20:unable to get local issuer certificate) while SSL handshaking to upstream

Вопрос. Почему? Что я сделал не так? Или, точнее, что я понял не так?

1. Не слишком параноидально не доверять бэкендам?

2. Права на файл CA правильные?

3. Промежуточных сертификатов между СА и твоим нет?

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

По порядку. 1. Я хочу, чтобы это был именно тот бэкенд, который хочется. Чтобы не могли перезахватывать инфраструктуру. 2. Права доступны на чтение файла. 3. Промежуточных сертификатов нет.

turtle_bazon ★★★ ()
Последнее исправление: turtle_bazon (всего исправлений: 1)
Ответ на: комментарий от turtle_bazon
proxy_ssl_verify_depth 2;

Попробуй, хотя с сертификатом подписанным сразу рутом оно не должно играть роли.

blind_oracle ★★★★★ ()
Последнее исправление: blind_oracle (всего исправлений: 1)

а если через openssl -verify проделать - проходит нормально? Это я к тому, что у тебя с сертификатами точно никаких косяков нет?

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

...или openssl s_client -connect backend:443 -CAfile /path/to/ca.pem. Вроде так.

thesis ★★★★★ ()
Ответ на: комментарий от Pinkbyte
# openssl verify -CAfile ca.cert node.cert 
node.cert: OK

Я так понимаю, с сертификатами косяков нет.

turtle_bazon ★★★ ()
Ответ на: комментарий от thesis
# openssl s_client -connect ba.ck.end.ip:443 -CAfile ca.cert -servername servername.com                                                                  
CONNECTED(00000003)
....
    Verify return code: 0 (ok)
....
turtle_bazon ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.