Мой конфиг server {

listen 666 ssl;
proxy_socket_keepalive on;
proxy_ssl on;
ssl_certificate /etc/nginx/ssl/example.com.crt; #/etc/ssl/certificate.pem
ssl_certificate_key /etc/nginx/ssl/privatekey.key; #/etc/ssl/private-key.pem
ssl_trusted_certificate /etc/nginx/ssl/ca-bundle.trust.crt; #/etc/ssl/certs/ca-bundle.trust.crt #/etc/nginx/ssl/SectigoRSADomainValidationSecureServerCA.crt
ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_pass TCP_666;
access_log /var/log/nginx/access.log main;

#так был сформирован ca-bundle.trust.crt
cat /home/username/crt/SectigoRSADomainValidationSecureServerCA.crt /home/username/crt/root.crt.cer /home/username/crt/example.com.crt >> /etc/nginx/ssl/ca-bundle.trust.crt

#так проверена «цепочка»
openssl verify -CAfile <(cat /home/username/crt/SectigoRSADomainValidationSecureServerCA.crt /home/username/crt/root.crt.cer) /home/username/crt/example.com.crt
/home/username/crt/example.com.crt: OK

Где я не прав?

14 ответов

16 просмотров

проксипасс же вроде надо в локейшен оборачивать))

https://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_pass

ты что выпускаешь сам серты?, так и задумано?, почему не поспользоваться тем же летсом?

Зачем у вас вобще ssl_trusted_certificate ?

Сергей-Хвощевский Автор вопроса
Anton Noginov
Зачем у вас вобще ssl_trusted_certificate ?

Вы точно знаете о чём говорите! Спасибо! ssl_stapling не используется. Эту секцию закомментил, но ошибки продолжаются. У меня в цепочке 3 сертификата. Я так понял, что они должны быть в выводе запроса, но у меня ошибки openssl s_client -connect example.ru:666 CONNECTED(00000004) depth=0 CN = example.ru verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 CN = example.ru verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:CN = example.ru i:C = Country, ST = State, L = Location, O = organizationName, CN = commonName

Сергей Хвощевский
Вы точно знаете о чём говорите! Спасибо! ssl_stap...

Ну там же вроде написано четко - есть какой-то сертификат, но его нневозможно проверить, потому что он самодельный, видимо

Сергей Хвощевский
Вы точно знаете о чём говорите! Спасибо! ssl_stap...

Отлично. А если trusted_certificate не нужен, то куда же можно вставить всю цепочку сертификатов?

Сергей-Хвощевский Автор вопроса
Yuri
Ну там же вроде написано четко - есть какой-то сер...

Спасибо Вам! Сертификат официальный. Дайте На`Водку какой тулзой могу проверить сертификат, чтобы выкатывать претензии в УЦ или осознать свою неправоту. Вот могу скачать сертификат так openssl s_client -showcerts -connect example.ru:443 </dev/null 2>/dev/null|openssl x509 -outform PEM >example.ru.pem какими ключами openssl проверить его (инициировать программный запрос в какой-либо УЦ, прописанный в системе)? В целях диагностики хочу это сделать

Сергей Хвощевский
Спасибо Вам! Сертификат официальный. Дайте На`Водк...

Если этот сертификат выдал CA - скорее всего с ним все ок. Просто, видимо, что-то не так настроено. Промежуточные сертификаты от CA есть? (там много букв сверху, я не осилил все)

Сергей-Хвощевский Автор вопроса
Yuri
Если этот сертификат выдал CA - скорее всего с ним...

Да. Промежуточные есть, не могу разобраться где их прописывать...

Сергей-Хвощевский Автор вопроса

Похожие вопросы

Обсуждают сегодня

1. https://www.kaggle.com/code/ahmadrezagholami2001/housing-estimation-linear-regression 2. https://www.kaggle.com/code/ahmadrezagholami2001/uncovering-quality-in-wines-logis...
Ahmadreza
1
Hi! Could you please upvote my new notebook? thanks a lot. https://www.kaggle.com/code/melissamonfared/anime-character-generation-dsgan-gan
məru
4
upvote plz https://www.kaggle.com/code/bassetkerouche/swapping-face?scriptVersionId=207300096
benkerrouche Statoinary
1
-- Привет всем. -- Есть csv, проблема в том что он содержит очень много повторов по столбцам и по строкам. -- Решил перекинуть это в базу данных, чтобы было проще. Но я не ша...
Oleg Ivanov
1
Как считаете - вопрос на собесе: «Как быстрее всего запустить ec2 машину в aws (в чистом аккаунте) и показать вывод от любой команды с нее» не очень ли сложный для условного м...
Sergey
50
Господа, у меня вопрос. Что вообще такое этот ваш data science и data scientists? А то гуглю, а мне какую-то расплывчатую фигню говорят.
Inkosta
44
Исходя из ваших комментариев, получается, что чтобы получить марты в CH из данных в PG, неправильно тянуть сырые данные в CH и там их обрабатывать, лепить справочники и джойни...
unhingedlunatic
42
Hi could you please help me with my two new projects? https://www.kaggle.com/code/hesankazemnia/rice-image-classification-cnn-pytorch https://www.kaggle.com/code/hesankazemnia...
Hesan
6
hi, Can you upvote? https://www.kaggle.com/code/durjoychandrapaul/rag-q-a-system-by-langchain-huggingface-for-pdf?scriptVersionId=204704280
A
1
Could you upvote and comment please? https://www.kaggle.com/code/tatianapetrushkevich/beginner-images https://www.kaggle.com/code/tatianapetrushkevich/python-for-beginners1 ...
Tazziyana
7
Карта сайта