nginx ssl_trusted_certificate指令不起作用

问题描述 投票:2回答:1

当我尝试使用此配置启动nginx服务器时,出现错误

nginx: [emerg] no ssl_client_certificate for ssl_client_verify

我的配置看起来像

# HTTPS server
server {
    listen       4443;
    server_name  localhost;
    ssl                  on;
    ssl_certificate      /home/user/conf/ssl/server.pem;
    ssl_certificate_key  /home/user/conf/ssl/server.pem;
    ssl_protocols        TLSv1.2;

    ssl_verify_client optional;
    ssl_trusted_certificate /home/user/ssl/certs/certificate_bundle.pem;

    include conf.d/api_proxy.conf;
}

根据错误,我应该使用ssl_client_certificate指令,但根据文档,如果我不想将证书列表发送给客户端,我应该使用ssl_trusted_certificate

http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate

有人可以帮我弄清楚我错过了什么吗?

nginx nginx-location nginx-reverse-proxy nginx-status
1个回答
1
投票

答案在错误消息本身中:

nginx: [emerg] no ssl_client_certificate for ssl_client_verify

如果在配置中禁用ssl_client_verify,则错误将在下次启动nginx时消失。似乎ssl_trusted_certificate的语义仅与其独占使用有关,并且当其他配置指令在起作用时受到“逻辑覆盖”的约束。

虽然我个人更喜欢这样一种状态:“如果出现了客户端证书,则不会向客户提供有关Web服务器信任的客户端证书或权限的信息”。但是,当这些信息可用时,我也可以看到对TLS握手进行故障排除的优势。从安全角度来看,我只看到通过openssl s_client呈现给客户端的元数据;没有公钥或其他“签名关键”信息,恶意客户端可以使用这些信息,例如,尝试克隆/重建CA.

例如:

openssl s_client -key client.key -cert client.crt -connect localhost:443

针对您的nginx配置运行将在响应中显示类似于以下内容的数据(即IMO,其值仅限于故障排除):

Acceptable client certificate CA names
/CN=user/OU=Clients/O=Company/C=Location
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits

理想情况下,您的DN结构不是“安全相关的”(如果上下文是面向Internet的Web服务)。

© www.soinside.com 2019 - 2024. All rights reserved.