ssl - 允许每个 ssl_verify 的 Nginx 问题，忽略的位置不起作用-6ren

ssl - 允许每个 ssl_verify 的 Nginx 问题，忽略的位置不起作用

转载作者：太空宇宙更新时间：2023-11-03 14:55:16

24

4

下面是我的 Nginx 配置

server {
       listen         80;
       server_name    acme.com;
       return         301 https://$server_name$request_uri;

}

server {
        listen   443 ssl;
        server_name             acme.com;

        #Server side certificates should be trusted certs.
        ssl_certificate         acme.com.crt;
        ssl_certificate_key     acme.com.key;

        #Client browser certificate identification can be trusted certs.
        ssl_client_certificate  /etc/ssl/acme/certs/ca.crt;
        ssl_crl                 /etc/ssl/acme/private/ca.crl;
        ssl_verify_client optional;
        ssl_verify_depth 5;

        ssl_session_timeout 5m;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers 'AES128+EECDH:AES128+EDH:!aNULL:!eNull:!EXPORT:!RC4:!DES:!SSLv2:!MD5!PSK';
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;

        ssl_stapling on;
        ssl_stapling_verify on;

        add_header Strict-Transport-Security max-age=63072000;
        add_header X-Frame-Options DENY;
        add_header X-Content-Type-Options nosniff;

        root /usr/share/nginx/html;
        index index.php index.html index.htm;

        auth_basic            "Restricted Area";
        auth_basic_user_file  .htpasswd;


        location / {
            try_files $uri $uri/ /index.php?$args;
        }

        # pass the PHP scripts to FastCGI server listening on the php-fpm socket
        location ~ \.php$ {

            if ($ssl_client_verify != SUCCESS) {
                return 403;
            }

            try_files $uri $uri/ /index.php?$args;
            fastcgi_split_path_info ^(.+\.php)(/.+)$;
            fastcgi_pass unix:/var/run/php5-fpm.sock;
            fastcgi_index index.php;
            fastcgi_keep_conn on;
            fastcgi_param  DN $ssl_client_s_dn;
            fastcgi_param  DNi $ssl_client_i_dn;
            fastcgi_param  CERT_SERIALNO $ssl_client_serial;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
        }

        location /api/2/apps/corp.acme.exampleapp {
           if ($ssl_client_verify != SUCCESS) {
               return 200;
            }

            try_files $uri $uri/ /index.php?$args;
        }


        location /api/2/apps/corp.acme.anotherapp {
            if ($ssl_client_verify != SUCCESS) {
                return 200;
            }

            try_files $uri $uri/ /index.php?$args;
        }

        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log debug;

        error_page 404 /404.html;
        error_page 500 502 503 504 /50x.html;

        location = /50x.html {
            root /usr/share/nginx/www;
        }

}

这是一切都变成梨形的地方。我不得不强制返回 200，因为设备上的下载客户端无法通过证书，因此该位被忽略。

/api/2/apps/corp.acme.exampleapp?format=plist HTTP/1.1" 200 0 "-" "itunesstored/1.0 iOS/8.3 model/iPhone7,1 build/12F70 (6; dt:107)"

==> /var/log/nginx/error.log <==
2015/05/05 13:01:05 [debug] 1561#0: *195 free: 0000000001262750, unused: 24
2015/05/05 13:01:05 [debug] 1561#0: *195 free: 0000000001231120, unused: 2780
2015/05/05 13:01:05 [debug] 1561#0: *195 free: 000000000123A000
2015/05/05 13:01:05 [debug] 1561#0: *195 hc free: 0000000000000000 0
2015/05/05 13:01:05 [debug] 1561#0: *195 hc busy: 0000000000000000 0
2015/05/05 13:01:05 [debug] 1561#0: *195 free: 0000000001244D30
2015/05/05 13:01:05 [debug] 1561#0: *195 tcp_nodelay
2015/05/05 13:01:05 [debug] 1561#0: *195 reusable connection: 1
2015/05/05 13:01:05 [debug] 1561#0: *195 event timer add: 6: 65000:1430830930999
2015/05/05 13:01:07 [debug] 1561#0: *195 post event 000000000127B890
2015/05/05 13:01:07 [debug] 1561#0: *195 delete posted event 000000000127B890
2015/05/05 13:01:07 [debug] 1561#0: *195 http keepalive handler
2015/05/05 13:01:07 [debug] 1561#0: *195 malloc: 000000000123A000:1024
2015/05/05 13:01:07 [debug] 1561#0: *195 SSL_read: 0
2015/05/05 13:01:07 [debug] 1561#0: *195 SSL_get_error: 5
2015/05/05 13:01:07 [debug] 1561#0: *195 peer shutdown SSL cleanly
2015/05/05 13:01:07 [info] 1561#0: *195 client 192.168.1.55 closed keepalive connection
2015/05/05 13:01:07 [debug] 1561#0: *195 close http connection: 6
2015/05/05 13:01:07 [debug] 1561#0: *195 SSL_shutdown: 1
2015/05/05 13:01:07 [debug] 1561#0: *195 event timer del: 6: 1430830930999
2015/05/05 13:01:07 [debug] 1561#0: *195 reusable connection: 0
2015/05/05 13:01:07 [debug] 1561#0: *195 free: 000000000123A000
2015/05/05 13:01:07 [debug] 1561#0: *195 free: 0000000000000000
2015/05/05 13:01:07 [debug] 1561#0: *195 free: 000000000122F8C0, unused: 0
2015/05/05 13:01:07 [debug] 1561#0: *195 free: 000000000122BFD0, unused: 32
2015/05/05 13:01:07 [debug] 1561#0: *195 free: 0000000001262140, unused: 144

最佳答案

这个问题归结为 Apple 如何加载 plist 的问题。

它不读取自签名证书，并且由于它们不在其钥匙串(keychain)中，因此失败。

关于ssl - 允许每个 ssl_verify 的 Nginx 问题，忽略的位置不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/30054226/

24

4

0

文章推荐： python - 如何动态更改子类中方法的签名？

文章推荐： c# - 使用 Interop Excel 时，SSIS 脚本任务断点不起作用

文章推荐： python - 在 pandas 中删除基于时间的空组

文章推荐： c# - List C# 中的 WPF datagrid 过滤器数据绑定(bind) List

asp.net - 允许允许 AD 组访问
我有一个 ASP.NET 网站，我希望只允许 AD 组中的用户访问该网站。我正在使用如下的 web.config 片段，但这似乎不起作用:
javascript - 即使有一个框未选中，如何禁用“允许”按钮？仅当选中所有复选框时才应启用“允许”按钮？
仅当选中所有框时才应禁用“允许”按钮。我该怎么做？我已经完成了 HTML 部分，如下所示。如何执行其中的逻辑部分？即使未选中一个复选框，也应禁用“允许”按钮
flutter - 允许 'context'移至不同的Dart文件
当前有一个Navigator.push(context，route)，但是上下文部分返回了错误，在尝试调试后，我发现问题是因为我在调用一个函数而不是直接将home设置为widget树。但是现在我不确定
java - 邮政编码的正则表达式 - 允许
这是我的邮政编码正则表达式 ^[a-zA-Z0-9]{1,9}$ 但不允许 A-12345。如何更改 - 也将被允许的正则表达式？最佳答案在字符集的开头或结尾添加-([...]): ^[-a-zA
javascript - 允许/激活浏览器中的混合内容
我目前正在建立我的网站，但遇到了一个问题 JavaScript 中的混合内容阻止当我尝试加载和显示来自的图像和页面时，Chrome、Mozilla 和 Explorer 会发生这种情况http 我
mysql - 远程连接mysql，允许 *
我见过使用: [mysqld] bind-address = 255.112.324.12 允许远程访问单个 IP。我如何允许从 mysql 远程访问所有 IP？最佳答案如果你想允许它用于所
c++ - 允许/禁用模板的特定复制构造函数和赋值操作
我想知道是否可以使用模板实现某些功能。我想要做的是允许特定的“复制构造函数和赋值运算符”从一个模板到另一个模板并禁用其他模板。我想我只完成了一件我想要的事情，所以我提供了下面的类(class)。对于
php - 允许 + 在正则表达式电子邮件中验证电子邮件
这个问题在这里已经有了答案: How to validate an email address in PHP (15 个答案) 关闭 2 年前。正则表达式让我大吃一惊。我如何更改此设置以验证带有加
允许 -/或 .作为日期内的分隔符
解析可以采用以下格式之一的日期的最佳方法是什么 "dd-MM-yyyy HH:mm" "dd/MM/yyyy HH:mm" "dd.MM.yyyy HH:mm" 无需创建 3 个 SimpleD
c++ - 允许 `this->` 访问依赖基类的成员的规则是什么？
我们知道，下面的代码格式不正确，因为成员 x 在依赖的基类中。但是，将指定行上的 x 更改为 this->x 将修复错误。 template struct B { int x; }; tem
java - 允许 this 引用转义
如果能帮助我理解“Java 并发实践”中的以下内容，我将不胜感激: Calling an overrideable instance method(one that is neither privat
允许 WordPress 上传任意文件的方法
此时如果上传一个不在预定义的安全扩展名列表，如.lrc，会报错： File type does not meet security guidelines. Try another. 解决此问题有
passwords - 允许 XMPP 用户根据韵律更改密码
我有一个运行韵律，可以为我的几个域和一个 friend 域处理 XMPP。我 friend 域中的一位用户(他的妻子)想更改她的密码(实际上她忘记了她，所以我会用 prosodyctl 设置一个，然后
nginx 允许|拒绝 $realip_remote_addr
使用 nginx，您可以允许和拒绝范围和 ips (https://www.nginx.com/resources/admin-guide/restricting-access/)。使用realip模
r - 允许 map 上权重重的点压倒其他权重低的点的选项
什么是一些好的克里金法/插值想法/选项，可以让重度权重的点在绘制的 R map 上的轻权重点上流血？康涅狄格州有八个县。我找到了质心并想绘制这八个县中每个县的贫困率。其中三个县人口稠密(约 100
virtualbox - 允许 Vagrant 访问主机互联网
我正在使用 virtualbox + ubuntu + vagrant . 但是我不能ping或 wget任何网址。请指导我如何允许虚拟机访问我的主机的互联网？最佳答案这对我有用。使用此配置 V
swift - 允许 inout 参数的默认值
标题可能有点令人困惑，所以让我向您解释一下。在 Swift 中，我们可以拥有带有默认参数值的函数，例如: func foo(value: Int = 32) { } 我们也可以有 In-Out 参数
android - 允许 TextView 增长到约束布局中的某个点
有TextView1 和TextView2。 TextView2 应该 float 在 TextView1 的右侧。只要两个 TextView 的总宽度不使 TextView2 与右侧的框重叠，Tex
Magento addFieldToFilter 允许 NULL
使用 Magento 收集方法 addFieldToFilter 时是否可以允许按 NULL 值进行过滤？我想选择集合中具有自定义属性的所有产品，即使没有为该属性分配任何值。最佳答案您不需要使用
.htaccess - 允许 .htaccess 文件中的文件夹的规则
我正试图从 .htaccess 文件中的规则中“排除”一个目录(及其所有文件夹)... 不确定这是否可能？ .htaccess 文件是这样的: Order Allow,Deny Deny from a

首页

博学

6Ren·AI

商城

ssl - 允许每个 ssl_verify 的 Nginx 问题，忽略的位置不起作用