Срок действия и отзыв сертификата SSL для свзи с nginx

Что может быть причиной блокировки nginx-ом валидных клиентов при появлении просроченного сертификата?

Выкладывай хороший и плохой сертификат, будет видно.

Плохой сертификат от хорошего отличается только тем, что у плохого Validity Not After до текущей даты, а у хорошего после.

А у «хорошего» сертификата в цепочке точно нету просроченных?

«Хороший» - это тот, срок которого еще не истек, до истечения срока этот сертификат работает и не блокирует сервер. Проблемы начинаются когда у хорошего сертификата заканчивается срок действия. Валятся все.

Может проблема в Nginx? Вот его настройка:

server {
    listen       8080;
    server_name  exam2;

    ssl                  on;
    ssl_certificate      /etc/openvpn/keys/uic.crt;
    ssl_certificate_key  /etc/openvpn/keys/uic.key;

    ssl_session_timeout  15m;
    
    ssl_verify_client on;
    ssl_client_certificate /etc/openvpn/keys/ca.crt;
    ssl_crl /etc/openvpn/keys/crl.pem;

    ssl_protocols  SSLv2 SSLv3 TLSv1;
    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers   on;

    location / {
        proxy_pass http://192.168.0.3;
        proxy_redirect default;
        #root   html;
        #index  index.html index.htm;
    }
}

error log смотрел? А если debug включить? :)

Вот смотри: ты сгенерил сертифкат СА, подписал им сертификат сервера, потом нагенерил клиентских сертификатов, подписал их тем же СА и раздал их клиентам.
Допустим, всем нагенерил на год, а одному, Васе, - на неделю.
Через две недели приходит Коля (с хорошим сертификатом) и посылается нафиг.
Вопрос: откуда nginx узнал, что где-то у далекого Васи истек срок действия его, васиного, сертификата?
Или nginx начинает отпинывать юзеров только _после_ того, как просроченный Вася попытается влезть на сайт?
А пока что я думаю, что у тебя истекает срок действия сертификата сервера или СА одновременно с юзерским, либо какая-то сволочь самостоятельно апдейтит CRL и все твои юзерские сертификаты внутри носят один и тот же ключ.

Проведу эксперимент, отпишусь. Сам пока не пойму как nginx узнает о том, что у Васи сертификат просрочен, если этот Вася и не заходит даже.

Что-то не могу смоделировать ситуацию, пока буду наблюдать.

Вот опять повторилась ситуация. Первый сертификат был сгенерирован на 30 дней 2.09.2013. Второй - тоже на 30 дней 25.09.2013.

2 и 3 сентября люди со вторым сертификатом войти не смогли. Я сам попробовал и собрал error.log в режиме debug (пока с ним пытаюсь разобраться сам). 3 сентября сгенерировал третий сертификат и войти с ним смог только после того как отозвал второй сертификат (скрипт revoke-full) и перезагрузил nginx.

Похоже эта неприятность от некорректной настройки SSL. Замечать такое начал когда добавил списки отозванных сертификатов.

Ну если ниасилишь, расскажи в подробностях, как генеришь сертификаты. Начиная от CA. Настройку CRL пока отложим.

Вот что нашел в error.log:

2013/10/02 17:04:12 [info] 49212#0: *6 client SSL certificate verify error: (12:CRL has expired) while reading client request headers, client: xx.xx.xx.xx, server: , request: «GET / HTTP/1.1», host: «yy.yy.yy.yy»

этот сертификат был точно не с истекшим сроком!!!

(12:CRL has expired)

Дык это не сертификат устарел, а список отзыва. Вот nginx и отбрасывает все сертификаты со страху.

Во-как! Что это значит и как его исправить %-).

А как генерил CRL? openssl ca -gencrl трали-вали -crldays ОПА_А_ВОТ_И_НУЖНЫЙ_ПАРАМЕТР.

Логично. Правда, CRL у меня генерится внутри скрипта revoke-full с ключем -config. В конфигурационном файле действительно есть строка default_crl_days = 30 - попробую исправить. Спасибо за подсказку.

CRL у меня генерится внутри скрипта revoke-full с ключем -config.

То ж скрипт отзыва, судя по названию. Ты его запускал в течение месяца хоть раз?

попробую исправить

Ради теста можно использовать вообще ключ -crlhours, чтобы через часок-другой все сломалось.

Сообразил бы раньше, да сам ни разу на эти грабли не наступал.