Nginx 双向证书验证失败的页面有无办法美化一下?

2016-02-06 19:52:16 +08:00
 dommyet

如果 Nginx 端强制要求客户端提交证书的话,一旦因为客户端原因验证失败, Nginx 就会返回其丑无比的一个页面。

仅当ssl_verify_client optional的时候可以使用$ssl_client_verify进行判断然后跳转到好看的页面,此时 Nginx 不强制要求客户端提交证书,于是在要求只能用证书登录的场合就只能用ssl_verify_client on

然而ssl_verify_client on的时候上面那个判断跳转逻辑就不能用了,于是还是返回其丑无比的页面。

请问如何破?详细情况麻烦移步看看我这篇文章

3167 次点击
所在节点    问与答
10 条回复
virusdefender
2016-02-06 21:27:27 +08:00
自定义 400 页面模板试试呢
Citrus
2016-02-06 21:30:22 +08:00
用 optional 然后后端验证是唯一的方法,否则 SSL 握手阶段根本就没完成,也就不存在返回错误页面之类的问题。
dommyet
2016-02-06 23:20:56 +08:00
@virusdefender 你是说 error_page 400 xxx.html 这样吗 一开始就试过的了 不行的
@Citrus 可以返回一个别的网页比如 return 303 https://www.google.com 这样 试过了是可以的 但是说到验证的问题好像后端验证确实是目前唯一可行的办法
cevincheung
2016-02-06 23:56:09 +08:00
如果为 optional ,

在 /login 不用双向验证
在 /trust-login 强制双向验证。
怎么搞?
shyling
2016-02-07 02:27:26 +08:00
在你的 if 里面使用
try_files 你的不丑的页面的路径 =400;
Citrus
2016-02-07 13:57:40 +08:00
@dommyet 你在 ssl_verify_client on 的时候可以 302 ?不可能吧。
orzfly
2016-02-07 17:07:46 +08:00
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#errors

495 an error has occurred during the client certificate verification;
496 a client has not presented the required certificate;
497 a regular request has been sent to the HTTPS port.

定义这几个错误代号的错误页吧。
dommyet
2016-02-07 18:21:57 +08:00
@Citrus return 303 是可以的 https://forum.nginx.org/read.php?11,240460,240460 我也测试过是 ok 的 但是只能是 optional 并不强制要求提交证书 所以对我来说没什么用
dommyet
2016-02-07 18:31:51 +08:00
@orzfly 正解 此问题已破 server 定义 error_page 495 496 497 https://www.google.com 即可 感谢
Citrus
2016-02-08 01:13:18 +08:00
@dommyet 。。。我的前提就是开它 on 啊亲。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/255678

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX