Ngix upstream ssl verify

0

2

В общем, есть nginx версии 1.8, есть самоподписные сертификаты, которые юзаются на бэках. И на фронте nginx'а хочется эти сертификаты проверять. Устанавливаю proxy_ssl_verify в on, proxy_ssl_trusted_certificate указываю на файл CA, которым эти сертификаты погенеряны. Результат - 502. Я так понимаю, не прошли проверку. Потому как в логах:

upstream SSL certificate verify error: (20:unable to get local issuer certificate) while SSL handshaking to upstream

Вопрос. Почему? Что я сделал не так? Или, точнее, что я понял не так?

Ссылка

←	CUPS: подключать все usb-принтеры как raw queue

Настраиваемый аналог tcpreplay для UDP?

→

1. Не слишком параноидально не доверять бэкендам?

2. Права на файл CA правильные?

3. Промежуточных сертификатов между СА и твоим нет?

blind_oracle ★★★★★
(01.06.15 22:45:28 MSK)

Ответ на: комментарий от blind_oracle 01.06.15 22:45:28 MSK

По порядку. 1. Я хочу, чтобы это был именно тот бэкенд, который хочется. Чтобы не могли перезахватывать инфраструктуру. 2. Права доступны на чтение файла. 3. Промежуточных сертификатов нет.

turtle_bazon ★★★★★
(02.06.15 09:26:45 MSK) автор топика
Последнее исправление: turtle_bazon 02.06.15 09:27:03 MSK (всего исправлений: 1)

Ответ на: комментарий от turtle_bazon 02.06.15 09:26:45 MSK

proxy_ssl_verify_depth 2;

Попробуй, хотя с сертификатом подписанным сразу рутом оно не должно играть роли.

blind_oracle ★★★★★
(02.06.15 22:06:32 MSK)
Последнее исправление: blind_oracle 02.06.15 22:07:07 MSK (всего исправлений: 1)

а если через openssl -verify проделать - проходит нормально? Это я к тому, что у тебя с сертификатами точно никаких косяков нет?

Pinkbyte ★★★★★
(03.06.15 01:50:08 MSK)
Последнее исправление: Pinkbyte 03.06.15 01:50:28 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 03.06.15 01:50:08 MSK

...или openssl s_client -connect backend:443 -CAfile /path/to/ca.pem. Вроде так.

thesis ★★★★★
(03.06.15 02:06:23 MSK)

Ответ на: комментарий от Pinkbyte 03.06.15 01:50:08 MSK

# openssl verify -CAfile ca.cert node.cert 
node.cert: OK

Я так понимаю, с сертификатами косяков нет.

turtle_bazon ★★★★★
(04.06.15 16:16:55 MSK) автор топика

Ссылка

Ответ на: комментарий от thesis 03.06.15 02:06:23 MSK

# openssl s_client -connect ba.ck.end.ip:443 -CAfile ca.cert -servername servername.com                                                                  
CONNECTED(00000003)
....
    Verify return code: 0 (ok)
....

turtle_bazon ★★★★★
(04.06.15 16:19:34 MSK) автор топика

Ответ на: комментарий от blind_oracle 02.06.15 22:06:32 MSK

Это пробовал. Но да, роли играть не должно и не играет.

turtle_bazon ★★★★★
(04.06.15 16:23:09 MSK) автор топика

Ссылка

Ответ на: комментарий от turtle_bazon 04.06.15 16:19:34 MSK

Да, с цепочкой доверия всё в порядке

Pinkbyte ★★★★★
(04.06.15 17:11:39 MSK)
Последнее исправление: Pinkbyte 04.06.15 17:11:54 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	CUPS: подключать все usb-принтеры как raw queue

Admin

Настраиваемый аналог tcpreplay для UDP?

→

Похожие темы