Err bad ssl client auth cert как исправить

nginx проблемы с авторизацией по сертификату

nginx 1.6.2, самоподписанные сертификаты сервера и клиента, openssl проверку проходят:

$ openssl verify -CAfile server/server.crt client01.crt client01.crt: C = RU, ST = Moscow, L = Moscow, O = Companyname, OU = User, CN = etc, emailAddress = support@site.com error 18 at 0 depth lookup:self signed certificate OK 

А при запросе nginx отвечает ошибкой 400 The SSL certificate error

В логах сервера:

2016/04/22 11:16:20 [info] 1465#0: *35 client SSL certificate verify error: (18:self signed certificate) wh ile reading client request headers, client: 192.168.2.11, server: _, request: "GET /test HTTP/1.1", host: " 192.168.2.6" 2016/04/22 11:16:20 [debug] 1465#0: *35 http finalize request: 495, "/test?" a:1, c:1 2016/04/22 11:16:20 [debug] 1465#0: *35 event timer del: 8: 1461313040230 2016/04/22 11:16:20 [debug] 1465#0: *35 http special response: 495, "/test?" 2016/04/22 11:16:20 [debug] 1465#0: *35 http set discard body 2016/04/22 11:16:20 [debug] 1465#0: *35 echo header filter, uri "/test?" 2016/04/22 11:16:20 [debug] 1465#0: *35 xslt filter header 2016/04/22 11:16:20 [debug] 1465#0: *35 posix_memalign: 0000000001F02580:4096 @16 2016/04/22 11:16:20 [debug] 1465#0: *35 HTTP/1.1 400 Bad Request 

server < listen 443 ssl; listen [::]:443 ssl; ssl on; ssl_certificate /etc/nginx/ssl/server.crt; ssl_certificate_key /etc/nginx/ssl/server.nopass.key; ssl_client_certificate /etc/nginx/ssl/ca.crt; ssl_verify_client on; location < proxy_pass http://192.168.2.6:9080; >> 

Я правильно понимаю, что серверу не нравится то, что сертификат самоподписанный? Как разрешить?

vvn_black ★★★★★
22.04.16 11:39:47 MSK

Вот это результата не дало:

ssl_trusted_certificate /etc/nginx/ssl/ca.crt; 

Работает с ssl_verify_client optional_no_ca; , но результат не тот, что хотелось бы $ssl_client_verify=’FAILED’

vvn_black ★★★★★
( 22.04.16 13:02:08 MSK ) автор топика

Есть возможность получить сертификат от LetsEncrypt?

nite2kk8
( 24.04.16 07:14:44 MSK )

Перепроверь сертификаты: клиентский должен быть подписан ключом CA:

$ openssl verify -CAfile ca.crt client1.crt client1.crt: OK 

Если считаешь, что всё ок — покажи их.

d2 ★
( 25.04.16 19:26:14 MSK )
Ответ на: комментарий от d2 25.04.16 19:26:14 MSK

Раньше не мог ответить. Решил проблему еще в пятницу, пересоздав сертифкаты.

vvn_black ★★★★★
( 25.04.16 21:06:55 MSK ) автор топика
23 января 2017 г.

Может кому пригодится

До этого момента подразумевается, что у вас уже есть nginx с fast cgi и mod ssl и вам нужно исправить (400 Bad Request No required SSL certificate was sent) и ошибки подобные (error 18 at 0 depth lookup:self signed certificate OK ) и ошибок с не достоверным сертификатом без доступа к ресурсу (NET::ERR_CERT_INVALID).

Начнем с сертификатов. Изначально для понимания ошибка (NET::ERR_CERT_INVALID) связана с тем что при создании CA и подписи сертификатов не верное указано значение CN, если настроен DNS указывайте ваш адресс CN=www.linux.org.ru, если не настроен внешний ip например CN=136.243.142.156 это значение CN должно быть одинаково для всех дальнейших действий с сертификатами (примеры с пробросом рассматривать не будем). Рассмотрим решение ошибки (error 18 at 0 depth lookup:self signed certificate OK) Изначально openssl настроен таким образом, что значаения OU eA должны быть уникальными ( настройки которая позволяет использовать одинаковые значения мы рассматривать не будем) Созданим CA с уникальными значениями, кроме CN OU=Admin/CN=136.243.142.156/emailAddress=support@site.com и все последующие значения будут OU=Server/CN=136.243.142.156/emailAddress=server@site.com OU=Client1/CN=136.243.142.156/emailAddress=client1@site.com OU=Client2/CN=136.243.142.156/emailAddress=client2@site.com

openssl req -new -newkey rsa:1024 -nodes -keyout ca.key -x509 -days 500 -subj /C=RU/ST=Moscow/L=Moscow/O=Companyname/OU=Admin/CN=136.243.142.156/emailAddress=support@site.com -out ca.crt

Создаем сетртификат для nginx и запрос для него, указав уникаьные OU eA OU=Server/CN=136.243.142.156/emailAddress=server@site.com

openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr

Безпарольная копия для запуска nginx

openssl rsa -in server.key -out server.nopass.key

Создаем ca.config (перед первыми символами не должно быть помежутков)

[ ca ] default_ca = CA_CLIENT [ CA_CLIENT ] dir = ./db certs = $dir/certs new_certs_dir = $dir/newcerts database = $dir/index.txt serial = $dir/serial certificate = ./ca.crt private_key = ./ca.key default_days = 365 default_crl_days = 7 default_md = md5 policy = policy_anything [ policy_anything ] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = optional emailAddress = optional 

В каталоге с ca.config создает структуру указанную выше

mkdir db mkdir db/certs mkdir db/newcerts touch db/index.txt echo "01" > db/serial

Создаем запрос и выполняем на создание клиентов

openssl req -new -newkey rsa:1024 -nodes -keyout client2.key -subj /C=RU/ST=Moscow/L=Moscow/O=Companyname/OU=Client2/CN=136.243.142.156/emailAddress=client2@site.com -out client2.csr openssl ca -config ca.config -in client2.csr -out client2.crt -batch

Если вернутся выше у вас уже должен быть nginx+fast cgi, тогда конфиг будет примерно таким При настройке в nginx в разделе server отключаем http порт #listen 80; для корректной работы при ssl_verify_client on; Пример nginx конфига для

server < #listen :80; #server_name 136.243.142.156; access_log /var/log/nginx/default.access.log; listen 136.243.142.156:443 ssl; server_name 136.243.142.156; ssl on; ssl_certificate /etc/nginx/config/ssl/server.crt; ssl_certificate_key /etc/nginx/config/ssl/server.nopass.key; ssl_client_certificate /etc/nginx/config/ssl/ca.crt; ssl_verify_client on; keepalive_timeout 70; fastcgi_param SSL_VERIFIED $ssl_client_verify; fastcgi_param SSL_CLIENT_SERIAL $ssl_client_serial; fastcgi_param SSL_CLIENT_CERT $ssl_client_cert; fastcgi_param SSL_DN $ssl_client_s_dn; location / < root /var/www/default; fastcgi_pass 127.0.0.1:9000; include /etc/nginx/fastcgi_params; >

Проверяем работоспособность в curl (у вас не должно быть ошибки 400)

curl -k --key client2.key --cert client2.crt --url "https://136.243.142.156"

Пакуем для браузеров.

openssl pkcs12 -export -in client2.crt -inkey client2.key -out cert.p12

Как очистить SSL в Яндекс.Браузере

Интернет стал неотъемлемой частью нашей жизни, а покупка в сети — обыденным делом. Чтобы защитить ваши данные сайты, используют протокол HTTPS и SSL-сертификаты. Но что делать, если вместо привычного сайта открывается ошибка безопасности SSL? В этой статье мы расскажем как очистить SSL в Яндекс Браузере.

Зачем нужен SSL в Яндекс.Браузере?

Каждый год количество финансовых операций в сети растет. 2018 год побил очередной рекорд: более 1,5 млрд транзакций было совершено только по пластиковым картам. Вопрос защиты персональных данных в сети сейчас актуален как никогда.

Несмотря на то что протокол HTTPS появился в 2000 году, свою популярность он обрел в 2013: в Интернете произошёл очередной переворот. В августе 2014 года компания Google официально заявила, что сайтам с SSL-сертификатам поисковая система будет отдавать приоритет в ранжировании.

Благодаря SSL-сертификату появилась возможность шифровать передаваемые данные и проверять их подлинность. Таким образом можно исключить мошенничество и кражу персональной информации пользователей. Подробнее про SSL и принцип работы вы можете узнать в статье: Для чего нужен SSL-сертификат?

Как включить SSL в Яндекс.Браузере?

Каждый браузер по умолчанию поддерживает протокол HTTPS и SSL-сертификаты, вручную ничего включать не нужно. Если на сайте установлен SSL-сертификат, это видно в поисковой строке, возле адреса сайта:

Зеленый замок сигнализирует о том, что ваше соединение с сайтом защищено.

Как устранить проблемы с SSL в Яндекс.Браузере?

Проблемы с SSL-сертификатом могут быть вызваны несколькими причинами. Они могут быть связаны как с настройками самого сайта на сервере, так и с настройками компьютера. Cамые распространённые причины:

1. компьютер заражён вирусом;
2. неверная дата или время на компьютере;
3. сертификат безопасности сервера аннулирован или истёк;
4. сайт заблокирован антивирусом;
5. устаревшая версия браузера;
6. хранилище SSL в Яндекс.Браузере переполнено.

Первые четыре пункта могут быть причинами для ошибки во всех браузерах. Подробнее о них в статье: Ошибка безопасности SSL, как исправить?

В этой статье мы рассмотрим последние два пункта, которые связаны с работой браузера Yandex.

Устаревшая версия браузера

Причиной ошибки может стать старая версия браузера. Убедитесь, что у вас актуальная версия, и установите обновления, если необходимо. Чтобы проверить версию браузера, в поисковой строке введите browser://help и нажмите Enter:

У вас откроется страница с информацией о версии Яндекс.Браузера:

Скачать актуальную версию браузера можно с официального сайта Яндекс.

Хранилище SSL в Яндекс.Браузере переполнено

Яндекс.Браузер запоминает и хранит информацию о сертификационных центрах и SSL-сертификатах в кэше. Сертификаты истекают и переиздаются, а сертификационные центры могут менять правила или попадать в чёрные списки. Из-за этого может возникнуть ошибка.

Как очистить SSL в Яндекс.Браузере

Сертификаты из браузера сохраняются на локальный компьютер. Их можно периодически удалять и поддерживать хранилище в актуальном состоянии.

Перейдите в Настройки браузера:

Во вкладке «Системные» выберите Управление сертификатами:

Вы увидите список сертификатов в кэше. Чтобы очистить его: На macOS: выделите необходимые сертификаты, кликните по ним правой кнопкой мыши и нажмите Удалить объект: На Windows: выделите нужные сертификаты и нажмите Удалить:

Готово! Теперь SSL-кеш успешно очищен.

Перед тем как открыть неизвестный сайт, вы можете воспользоваться сервисом XSEO. С помощью этого сервиса вы можете проверить сайт на безопасность (вирусы, спам, фишинг) и ограничения по возрасту.

Примечание

С 28 января 2019 года Яндекс оповещает о проблемах с SSL-сертификатом через Яндекс.Вебмастер. Подробнее читайте в блоге Яндекса.

Помогла ли вам статья?

Спасибо за оценку. Рады помочь ��

Ошибка безопасности SSL, как исправить

С апреля 2017 года владельцы ru-доменов установили более 220 тысяч SSL-сертификатов: статистика по ссылке. В 2018 подробно описывать необходимость SSL излишне. Он нужен для безопасности личных данных. Подробнее в статье: Для чего необходим SSL-сертификат.

Если на сайте установлен SSL, страница открывается по безопасному https-протоколу:

Зеленый цвет в адресной строке сигнализирует пользователям: здесь не украдут персональные данные (номер банковской карты, почтовый аккаунт, пароль).

Досадно, когда зеленый сигнал светофора не вовремя сменяется красным. Вдвойне досадно, если вместо защищенного соединения вы вдруг видите на сайте — ошибку протокола SSL. Почему так вышло и как исправить и убрать ошибку подключения SSL, читайте ниже:

Предварительно проверьте

Убедитесь, что вы не перепутали ошибку подключения SSL с другими проблемами. Если в браузере перестал открываться ваш сайт, сначала проверьте:

1. Правильно ли установлен SSL-сертификат.
2. Настроен ли редирект с http на https для Linux-хостинга/Хостинга для ASP.NET.
3. На какой домен установлен SSL-сертификат. SSL-cертификат регистрируется на конкретный домен. То есть если сертификат установлен на домен faq-reg.ru, а вы зашли через адрес shop.faq-reg.ru, то будет показана ошибка SSL.

Если у вас установлен бесплатный SSL-сертификат, его действие распространяется только на сам домен и поддомен «www»: faq-reg.ru и www.faq-reg.ru. Для остальных поддоменов он не работает. Если вам необходим SSL-сертификат на поддомене, закажите отдельный сертификат для поддомена: Как купить SSL-сертификат?

Если с этим нет проблем, продолжите чтение статьи.

Почему возникает ошибка SSL

• сбились настройки системных часов или календаря,
• ваша антивирусная программа сканирует данные передаваемые по HTTPS-протоколу и может блокировать некоторый трафик,
• изменились настройки самого браузера,
• срабатывает вредоносный скрипт.

Ошибка протокола SSL, что делать

Системные настройки часов и календаря

Если на компьютере сбились настройки времени, браузер предупредит:

В Google Chrome

В Mozilla Firefox

Решить просто: установите верную дату. Чтобы ошибка не повторялась, включите синхронизацию с сервером времени в сети Интернет (системные настройки Даты и времени).

Настройки антивирусной программы

Если с часами все в порядке, а ошибка SSL на месте, проверьте настройки антивирусной программы. Скорее всего, в нем включена «проверка протокола https». Проверьте, если она включена, программа не примет самоподписанный бесплатный SSL-сертификат или сертификат, защищенный Let’s Encrypt. Попробуйте отключить функцию и зайти на сайт вновь.

Если ошибка SSL не пропала, отключите антивирусную программу и откройте сайт. Это решило проблему? Поможет смена утилиты.

Если не помогло, не забудьте включить антивирусную программу и поищите решение ниже.

Настройки браузера

1. Откройте сайт в другом браузере.
2. Проверьте, используете ли вы последнюю версию браузера. Если нет, обновите его до последней и откройте сайт вновь.
3. Вероятно, это сбой браузера. В таком случае, перезагрузите браузер и попробуйте зайти на сайт вновь.
4. Если проблема осталась, отключите антивирусные веб-компоненты в разделе Расширения.

Радикальный способ — сброс настроек до первоначальных. Используйте его в крайнем случае.
Обратите внимание

Также вы можете сменить браузер на Intenet Explorer, пока проблема не будет решена. В этом браузере отсутствует ошибка SSL.

Вредоносные скрипты/фишинг/рекламные вирусы

Иногда ошибка SSL свидетельствует о реальной угрозе: браузер защищает вас от интернет-мошенников. Вероятно, в браузере открывается сайт-клон, на который вас переадресовывает.

Если подозреваете вражеское вмешательство, просканируйте компьютер с помощью антивирусной программы и удалите имеющиеся вирусы.

Если проблема осталась после перечисленных вариантов, обратитесь к специалисту, который продиагностирует конкретный случай, выявит что значит ошибка подключения ssl и исправит ее.

Помогла ли вам статья?

Спасибо за оценку. Рады помочь ��

How To Fix the ERR_BAD_SSL_CLIENT_AUTH_CERT Error (7 Methods)

Currently, Google Chrome is the most popular desktop browser in the world. Although it has a user-friendly interface, you may still encounter some problems while using it, like the ERR_BAD_SSL_CLIENT_AUTH_CERT error message. Fortunately, fixing the ERR_BAD_SSL_CLIENT_AUTH_CERT error doesn’t require much technical experience. You may simply need to update Chrome, clear your cache, or delete conflicting browser extensions. In this post, we’ll take a closer look at the ERR_BAD_SSL_CLIENT_AUTH_CERT error and what causes it. Then, we’ll show you seven easy ways to fix it. Let’s get started!

Check Out Our Video Guide On Fixing The ERR_BAD_SSL_CLIENT_AUTH_CERT Error:

What Is the ERR_BAD_SSL_CLIENT_AUTH_CERT Error?

While trying to access a website in Chrome, you might get an ERR_BAD_SSL_CLIENT_AUTH_CERT error message. This will prevent you from accessing the page. To understand this Chrome error, you’ll need to know how SSL works. Secure Sockets Layer (SSL) is a security protocol that encrypts and authenticates any data sent from a web server to your browser. As a website owner, it’s important to secure your site with an SSL certificate. This will help you protect the content on your website, including sensitive data. There’s also the Transport Layer Security (TLS) protocol, which is an updated version of SSL that further authenticates your server. When you try to access a website, Google Chrome will check for security protocols like an installed SSL certificate. If your browser cannot provide a secure connection, it will return an ERR_BAD_SSL_CLIENT_AUTH_CERT error. Accessing Chrome settings for updates Chrome will then check for new updates. If there is one available, it will automatically install it: Once the update is finished, you’ll need to restart Google Chrome. To do this, hit the Relaunch button. When the browser reopens, try visiting the website you were trying to access. If the ERR_BAD_SSL_CLIENT_AUTH_CERT message is still visible, you can move on to the next method.

2. Sync Your Device’s Date and Time

Sometimes, your device won’t display the correct date or time. If these two settings are out of sync, it could create conflicts with your browser. For example, a website’s SSL certificate may have just been renewed, but if the date on your computer is wrong, the browser might recognize it as invalid. This can easily trigger an ERR_BAD_SSL_CLIENT_AUTH_CERT error. To fix this, open your Windows Settings app. Then, navigate to Time & language and select Date & time: Make sure to enable automatic configuration for both the time and time zone. Under Additional settings, click on the Sync now button. This will help ensure that your device displays the same date and time as Microsoft servers. Although this is commonly a Windows issue, you can also check the date and time on a Mac. In your System Preferences, select Date & Time: By default, the date and time will be set automatically. If this information is incorrect, deselect the Set date and time automatically setting. Then, you can set the date and time manually: When you’re ready, save your changes. Then, check to see if the browser error has been resolved. cached data. When you visit a website for the first time, your browser will save data in a cache. This reduces the number of HTTP requests when you revisit the site so that the page can load faster. Unfortunately, your browser cache could become corrupted or outdated. This can cause many Chrome errors, so you may need to clear it. To clear your browser cache, go to More Tools > Clear Browsing Data: In the pop-up window, select Cached images and files. Feel free to also clear the browsing history, cookies, and other site data: When you’re finished, click on Clear data. Then, refresh the page to see if it loads.

4. Delete Conflicting Browser Extensions

If you’re using browser extensions, these may negatively impact your browsing experience. If the software is old or out-of-date, it could cause the ERR_BAD_SSL_CLIENT_AUTH_CERT error. To troubleshoot this issue, go to More Tools > Extensions in Chrome: This will display a list of all your installed Chrome extensions. Use the toggle buttons to turn off every tool: Now that all your extensions have been disabled, try to access the website that displayed the ERR_BAD_SSL_CLIENT_AUTH_CERT message. If it loads, then one of your extensions was triggering the error. To identify the culprit, go back to your Extensions page and reactivate each extension one at a time. After each reactivation, check to see if the error reappears. Once it does, you can remove that specific extension.

5. Update Your Device

Another simple solution is to update your operating system. Outdated Windows versions have been known to trigger the ERR_BAD_SSL_CLIENT_AUTH_CERT error. Start by navigating to your Windows Settings. Then, select Windows Update. Here, you can check for new updates and install them if available: To update a Mac computer, open your System Preferences. Then, find the Software Update option: If there is a new update, you can hit Upgrade Now. To prevent any future issues, consider checking the box next to Automatically keep my Mac up to date: Once you update your computer, open Chrome and revisit the website that caused the error. If you don’t see the error message, you can continue browsing normally!

6. Disable QUIC Protocol

QUIC (Quick UDP Internet Connection) is an experimental protocol that was created to improve HTTP traffic. Similar to TLS and SSL, it aims to create secure connections with reduced latency. Although Chrome uses QUIC protocol, it is still an experimental setting. As a result, it could cause loading errors. If you haven’t found a solution to the ERR_BAD_SSL_CLIENT_AUTH_CERT error, try disabling the QUIC protocol. First, search for “chrome://flags/#enable-quic” in your browser: Using the dropdown menu on the right, disable the Experimental QUIC protocol setting: Once you implement this change, you’ll need to relaunch Chrome.

7. Temporarily Turn Off Anti-Virus Software

You may have third-party applications that perform SSL/TLS protocol filtering. For example, anti-virus software and firewalls will often scan websites for SSL certificates. Although this can boost your security, it can also cause the ERR_BAD_SSL_CLIENT_AUTH_CERT error. Programs like Nod32, Avira, and McAfee commonly identify false positives when scanning websites. Although every software is different, you should be able to disable settings related to SSL/TLS protocol. Alternatively, you can temporarily disable the entire anti-virus software. You may also need to turn off firewalls, Virtual Private Networks (VPNs), and any other security software on your device. Just like with your browser extensions, check to see if the error disappears after you deactivate each program. This can help you target the source of the issue.

Summary

• Easy setup and management in the MyKinsta dashboard
• 24/7 expert support
• The best Google Cloud Platform hardware and network, powered by Kubernetes for maximum scalability
• An enterprise-level Cloudflare integration for speed and security
• Global audience reach with up to 35 data centers and 260 PoPs worldwide

Get started with a free trial of our Application Hosting or Database Hosting. Explore our plans or talk to sales to find your best fit.