<div dir="ltr">Hi Andrew <div><br></div><div>Just read your SO post and I feel your pain.  I just spent hours trying to get a CA chain (purely in a server cert) to work by concatenating various intermediate certs into a pem and it was a vale of tears (in the end found a mechanism to download the correctly concatenated CA chain from my cert provider, so while I learned a lot about openssl, I did reach the edge of my understanding which turned out to be not that far). It's also a nightmare when you don't have usable access credentials your users do (whether certs or active directory config or whatever).<div><br></div><div>You may have considered this already, but it might be worth checking whether you can set this up correctly by creating a self-signed Certificate Authority, creating some certs with it, and then setting up a staging nginx server with a parallel config to your live one and see if it works correctly. Seems like this might not take that long to do and might give you some insight as to which of your assumptions are correct. </div><div><br></div><div>all best</div><div><br></div><div>Tim</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 17 Jun 2020 at 14:23, Andrew Stewart <<a href="mailto:boss@airbladesoftware.com">boss@airbladesoftware.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello LRUG!<br>
<br>
Are you (a) handy with SSL and (b) bored?<br>
<br>
I'm trying to get Nginx to validate client SSL certificates signed by MIT's certificate authority:<br>
<br>
        <a href="https://stackoverflow.com/q/62259720/151007" rel="noreferrer" target="_blank">https://stackoverflow.com/q/62259720/151007</a><br>
<br>
But I'm stuck.  Any help would be much appreciated.<br>
<br>
Many thanks!<br>
<br>
Andrew Stewart<br>
_______________________________________________<br>
Chat mailing list<br>
<a href="mailto:Chat@lists.lrug.org" target="_blank">Chat@lists.lrug.org</a><br>
Archives: <a href="http://lists.lrug.org/pipermail/chat-lrug.org" rel="noreferrer" target="_blank">http://lists.lrug.org/pipermail/chat-lrug.org</a><br>
Manage your subscription: <a href="http://lists.lrug.org/options.cgi/chat-lrug.org" rel="noreferrer" target="_blank">http://lists.lrug.org/options.cgi/chat-lrug.org</a><br>
List info: <a href="http://lists.lrug.org/listinfo.cgi/chat-lrug.org" rel="noreferrer" target="_blank">http://lists.lrug.org/listinfo.cgi/chat-lrug.org</a><br>
</blockquote></div>