如何让Nginx验证MIT个人证书？

Question

我和麻省理工学院的用户一起运行一个网络应用程序。他们询问They应用程序是否可以通过麻省理工学院的个人证书对用户进行身份验证(可能是第二个因素)。我试过了，但我不能使它工作。

我下载了麻省理工学院的CA证书从MIT certificates page - see链接“获取麻省理工学院(证书颁发机构)”附近的页面底部- and转换它为PEM格式。

然后我将证书上传到and服务器，像这样配置Nginx，并重新加载：

ssl_client_certificate /etc/nginx/certs/mitca.pem;
ssl_verify_client optional;
ssl_verify_depth 2;

当麻省理工学院的用户访问webapp时，他们的浏览器会提示他们选择证书。他们选择了麻省理工学院的个人课程。然后Nginx显示了一个错误页面："400 Bad Request / The SSL certificate error“。错误日志包含以下内容：

client SSL certificate verify error: (21:unable to verify the first certificate) while reading client request headers

根据openssl's docs的说法，错误21 (或X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE)意味着“没有签名可以被验证，因为链只包含一个证书，并且它不是自签名的”。

假设“链”指的是麻省理工学院CA证书？

由于以下结果，我认为MIT CA证书是自签名的：

$ openssl verify -CAfile mitca.pem mitca.pem
mitca.pem: OK

有人知道哪里出问题了吗？

Answer 1

使用nginx，您必须将证书链和证书连接到一个文件中，在本例中为/etc/nginx/certs/mitca.pem

可以在UNIX CLI上使用以下命令完成此操作：

cat your-signed.crt ca-cert-chain.crt > /etc/nginx/certs/mitca.pem

...then重启nginx。您可以提前使用nginx -t，以确保语法正确且证书有效( nginx将重新启动)