那些遇到过的问题

lighttpd 上的错误“SSL3_GET_CLIENT_CERTIFICATE:peer 没有返回证书”

Leo*_*lho 1 ssl lighttpd ssl-certificate ssl-certificate-errors

我正在使用有效的证书,但无法获得客户端证书。lighttpd 服务失败并出现错误:

(connections-glue.c.200) SSL: 1 错误:140890C7:SSL 例程:SSL3_GET_CLIENT_CERTIFICATE:peer 没有返回证书

我的配置是这样的: 

$SERVER["socket"] == ":443" {
            protocol     = "https://"
            ssl.engine   = "enable"
            ssl.disable-client-renegotiation = "enable"



            #server.name = "mywebsite.com"
            ssl.pemfile               = "/etc/lighttpd/ssl/mywebsite.com.pem"
            ssl.ca-file               = "/etc/lighttpd/ssl/mywebsite.com.csr"


            ssl.ec-curve              = "secp384r1"
            ssl.use-sslv2 = "disable"
            ssl.use-sslv3 = "disable"
            ssl.honor-cipher-order    = "enable"
            ssl.cipher-list           = "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS"

            # HSTS(15768000 seconds = 6 months)
            #setenv.add-response-header  = (
            #   "Strict-Transport-Security" => "max-age=15768000;"
            #)

            #ask for client cert
            ssl.verifyclient.exportcert = "enable" 
            ssl.verifyclient.activate   = "enable" 
            ssl.verifyclient.username   = "SSL_CLIENT_S_DN_CN" 
            ssl.verifyclient.enforce    = "enable" 
            ssl.verifyclient.depth      = 3
        }
    }
Run Code Online (Sandbox Code Playgroud)

Leo*_*lho 5

ssl.ca 文件读取内容,您可以在此处调用任何文件类型,即使是 .txt,如果内容是证书或证书链,则对 lighttpd 无关紧要。

当您启用 ssl.verifyclient.activate 时,lighttpd 将请求由 ca 文件内的根 CA 证书签名的证书。

如果我想使用第三方证书,例如 ICP-Brazil,这是所有个人证书的根。该证书由该实体签署,证明您确实是您,并且在您的法庭上具有法律效力。ICP-Brazil 目前有 5 个版本的根证书,所以如果系统要支持旧证书(可能到 6 年有效期),这意味着您需要在 ssl.ca-file 中放置多个证书。如此处所述:https : //schnouki.net/posts/2014/08/12/lighttpd-and-ssl-client-certificates/

关于错误:

(connections.c.305) SSL: 1 错误:140890C7:SSL 例程:SSL3_GET_CLIENT_CERTIFICATE:peer 没有返回证书

它的发生是因为一些原因:

  • 客户端没有任何有效证书(与 ssl.CA 文件中的根证书匹配)
  • 连接在 ssl 握手完成之前中断。选择证书或输入证书密码的时间很长,甚至网络重启都可能导致这种情况。
  • 您正在使用 CDN 网络(例如 cloudflare 或 ovh cdn),客户端和服务器之间的连接应该直接进行握手。

所以我得出结论,这并不是真正需要纠正的错误,而是 ssl 握手技术的局限性。

归档时间:

查看次数:

23225 次

最近记录:

8 年,5 月 前
相关归档
是否可以在 Apache 中为单个 VirtualHost(贵宾犬)设置 SSLProtocol? 13
如何配置 IIS 7.5 SSL \ TLS 以与 iOS 9 ATS 一起使用 11
使 Firefox 更加接受自签名 SSL 证书 6
一个SSL证书可以绑定多少个域名? 6
从 JKS 密钥库中提取密钥以与 apache2 和 tomcat 一起使用 5
为 Dovecot 和 Postfix 生成 SSL 密钥 5
(自签名)证书,带有本地主机 IP 的通配符(127…) 4
WSL-Docker:curl:(60) 无法获取本地颁发者证书 4
邮件服务器上的 SSL 证书过期 3
Amazon EC2“微型”(最小)Linux 实例可以为多少用户可靠地提供动态网站服务? 0
难疑归档
在哪里可以找到作为“本地系统帐户”运行的 Windows 服务存储的数据? 107
使用 iptables 时 REJECT 与 DROP 104
logrotating 目录及其子目录中的文件 76
设置gitlab外部web端口号 69
Nginx 变量 $host、$http_host 和 $server_name 之间有什么区别? 66
为什么 AWS 不建议使用公共 S3 存储桶? 65
gpg --gen-key 在 centos 6 上获得足够的熵时挂起 62
本地可以生成SSL证书,为什么还要购买? 59
如何在没有 swarm 集群的情况下使用 docker secrets? 53
php cli内存限制 52