Авторизация по сертификатам?

Question

[Александр Абакумов]

Имеем сервер на убунту, до этого был и Centos и freebsd, на всех ситуация абсолютно идентичная.
Итак имеем Nginx.
На сервере создан виртуалхост и для него созданы сертификат LetsEncrypt.
Пробовал разные инструкции, суть которых заключалась в создании центра сертификации, потом создание сертификата сервера и клиентского сертификата.
Все создал, в конфигурации прописал, вес вроде как должно работать, но нет.
Пробовал сертификат сервера использовать и самоподписанный и LetsEncrypt.
При обращении и вводе пароля от клиентского сертификата получаю ошибку:

2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL ALPN supported by client: http/1.1
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL ALPN selected: http/1.1
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL_do_handshake: -1
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL_get_error: 2
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL handshake handler: 0
2021/12/13 11:01:10 [debug] 3862#3862: *<b>3 verify:0, error:18, depth:0, subject:"/C=RU/ST=Sverdlovskaya/L=Yekaterinburg/O=domain/OU=User/CN=etc/emailAddress=support@domain.ru", issuer:"/C=RU/ST=Sverdlovskaya/L=Yekaterinburg/O=domain/OU=User/CN=etc/emailAddress=support@domain.ru"
2021/12/13 11:01:10 [debug] 3862#3862: *3 verify:1, error:18, depth:0, subject:"/C=RU/ST=Sverdlovskaya/L=Yekaterinburg/O=domain/OU=User/CN=etc/emailAddress=support@domain.ru", issuer:"/C=RU/ST=Sverdlovskaya/L=Yekaterinburg/O=domain/OU=User/CN=etc/emailAddress=support@domain.ru"</b>
2021/12/13 11:01:10 [debug] 3862#3862: *3 ssl new session: 7D45FB3F:32:1098
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL_do_handshake: 1
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL: TLSv1.2, cipher: "ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD"
2021/12/13 11:01:10 [debug] 3862#3862: *3 reusable connection: 1
2021/12/13 11:01:10 [debug] 3862#3862: *3 http wait request handler
2021/12/13 11:01:10 [debug] 3862#3862: *3 malloc: 000055793AC585A0:1024
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL_read: -1
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL_get_error: 2
2021/12/13 11:01:10 [debug] 3862#3862: *3 free: 000055793AC585A0
2021/12/13 11:01:10 [debug] 3862#3862: *3 http wait request handler
2021/12/13 11:01:10 [debug] 3862#3862: *3 malloc: 000055793AC585A0:1024
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL_read: 465
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL_read: -1
2021/12/13 11:01:10 [debug] 3862#3862: *3 SSL_get_error: 2
2021/12/13 11:01:10 [debug] 3862#3862: *3 reusable connection: 0
2021/12/13 11:01:10 [debug] 3862#3862: *3 posix_memalign: 000055793AC5EBF0:4096 @16
2021/12/13 11:01:10 [debug] 3862#3862: *3 http process request line
2021/12/13 11:01:10 [debug] 3862#3862: *3 http request line: "POST /Base/e1cib/login?nm=3463004214345805875&vl=ru_RU&ni=-1201899248&version=8.3.10.2580&clnId=4638a353-facb-45a4-9faa-f2eaa86678f5 HTTP/1.1"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http uri: "/base/e1cib/login"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http args: "nm=3463004214345805875&vl=ru_RU&ni=-1201899248&version=8.3.10.2580&clnId=4638a353-facb-45a4-9faa-f2eaa86678f5"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http exten: ""
2021/12/13 11:01:10 [debug] 3862#3862: *3 posix_memalign: 000055793ABF6D60:4096 @16
2021/12/13 11:01:10 [debug] 3862#3862: *3 http process request header line
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "Host: domain.ru"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "Accept-Charset: utf-8"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "User-Agent: 1CV8C"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "1C-ApplicationName: 1CV8C"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "Accept: application/xml"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "Accept-Encoding: deflate,1CSDC;q=0.5"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "Accept-Language: ru-RU"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "1C-BaseLocation: https://domain.ru/Base"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "Content-Length: 0"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header: "Content-Type: application/x-www-form-urlencoded"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http header done
2021/12/13 11:01:10 [info] 3862#3862: *3 <b>client SSL certificate verify error: (18:self signed certificate) while reading client request headers, client: 212.49.112.114, server: domain.ru, request: "POST /Base/e1cib/login?nm=3463004214345805875&vl=ru_RU&ni=-1201899248&version=8.3.10.2580&clnId=4638a353-facb-45a4-9faa-f2eaa86678f5 HTTP/1.1", host: "domain.ru"</b>
2021/12/13 11:01:10 [debug] 3862#3862: *3 http finalize request: 495, "/Base/e1cib/login?nm=3463004214345805875&vl=ru_RU&ni=-1201899248&version=8.3.10.2580&clnId=4638a353-facb-45a4-9faa-f2eaa86678f5" a:1, c:1
2021/12/13 11:01:10 [debug] 3862#3862: *3 event timer del: 14: 3740928
2021/12/13 11:01:10 [debug] 3862#3862: *3 http special response: 495, "/Base/e1cib/login?nm=3463004214345805875&vl=ru_RU&ni=-1201899248&version=8.3.10.2580&clnId=4638a353-facb-45a4-9faa-f2eaa86678f5"
2021/12/13 11:01:10 [debug] 3862#3862: *3 http set discard body
2021/12/13 11:01:10 [debug] 3862#3862: *3 xslt filter header
2021/12/13 11:01:10 [debug] 3862#3862: *3 <b>HTTP/1.1 400 Bad Request</b>
Server: nginx/1.18.0 (Ubuntu)
Date: Mon, 13 Dec 2021 11:01:10 GMT
Content-Type: text/html
Content-Length: 224
Connection: close

Почему не принимает сертификат?

Comments

[pfg21]

самоподписные сертифкаты не воспринимает.
сделай в дополнение корневой сертификат и уже от него подписывай свои сертификаты

[Александр Карабанов]

Покажи что у тебя сейчас в конфиге. Только, чтобы было понятно, где клиентский сертификат, а где корневой.

[Александр Абакумов]

Александр Карабанов, Прости, я немногое понял, о каком кончике ты говоришь? в Nginx.conf не указывается же клиентский сертификат.

[Александр Абакумов]

pfg21, Я немного не понял. так ca.crt разве не корневой сертификат?

[Александр Карабанов]

Александр Абакумов, в ответах есть пример правильного конфига. Покажи, как выглядит твой конфиг, чтобы можно было понять, где ты ошибся.

[Александр Абакумов]

Александр Карабанов, Сейчас скажу не поверишь...
Взял снова за основу вот этот мануал: https://bogachev.biz/2016/11/23/avtorizatsiya-po-k...
Тупо накопипастил все.
Вот такой сделал конфиг:

server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name domain.ru;
root /usr/share/nginx/html;
access_log /var/log/nginx/tash-access.log main;
error_log /var/log/nginx/tash-error.log debug;

ssl_certificate "/etc/letsencrypt/live/domain.ru/fullchain.pem";
ssl_certificate_key "/etc/letsencrypt/live/domain.ru/privkey.pem";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

# Load configuration files for the default server block.
include /etc/nginx/virtual/uz/*.conf;
set $true = 0

location /Base {
# include /usr/local/etc/nginx/auth_user/cert_admin;

# if ($ssl_client_serial = "6100000008AFFA83A2C82761EA000000000008") {set $true 1;} # ФИО

# if ($true = 0) {return 401;}

proxy_pass http://IP:80;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_connect_timeout 120;
proxy_send_timeout 120;
proxy_read_timeout 180;
}

}

и все взлетело. Я вообще не понимаю что произошло.
И да, серийник сертификата давно не существует;), он для примера проверки принадлежности сертификата именно этой базе.