Nginx无法获取证书CRL
我使用nginx(1.1.9)通过使用客户端证书功能在https上提供debian软件包Nginx无法获取证书CRL,nginx,Nginx,我使用nginx(1.1.9)通过使用客户端证书功能在https上提供debian软件包 listen 443 ssl; ... ssl_certificate /etc/ssl/ca.chain.crt; ssl_certificate_key /etc/ssl/server.key; #ssl_crl /etc/ssl/ca-crl.pem; ssl_client_certificate /etc/ssl/ca.pem; ssl_verify
listen 443 ssl;
...
ssl_certificate /etc/ssl/ca.chain.crt;
ssl_certificate_key /etc/ssl/server.key;
#ssl_crl /etc/ssl/ca-crl.pem;
ssl_client_certificate /etc/ssl/ca.pem;
ssl_verify_client on;
ssl_verify_depth 2;
ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1;
...
error_log /var/log/nginx/error.log debug;
...
我使用reprepro配置apt repo。我可以使用apt get update对此repo进行配置,不会出现任何错误,但当我注释掉ssl_crl以使用吊销列表时,日志显示:
client SSL certificate verify error: (3:unable to get certificate CRL) while reading client request headers, client: xxx.xxx.xxx.xxx, server: apt.myrepo.com, request: "GET /ubuntu/dists/precise/non-free/i18n/Translation-en HTTP/1.1", host: "apt.myrepo.com"
我不确定为什么nginx可以找到我的证书吊销列表。这是因为nginx需要为
ssl\u client\u certificate
证书链中提到的每个证书(包括根CA的CRL)设置CRL
我自己在创建根CA和中间CA以生成intranet站点的证书时遇到了这个问题。当我将nginx配置为使用SSL客户端身份验证时,我只使用了来自中间CA的CRL。nginx需要查看链中每个证书(包括中间CA)的CRL,以确保中间CA的证书没有被根用户吊销。将根CRL连接到中间CRL修复了该问题
笔记
- 默认的CRL有效期(
)为30天,因此您需要制定一个系统,使所有内容保持最新default\u CRL\u days
- 谢谢你,我在谷歌搜索了很多次后发现,这表明我在链中丢失了另一个证书