NginXクライアント証明書の認証が「発行者証明書を取得できません」で失敗する

私は現在、NginXリバースプロキシを介してメールサーバーのクライアント証明書認証を設定しているときに、粘り強い問題に取り組んでいます。

セットアップは、クライアント証明書がなくてもほとんどの部分で機能しているようです。しかし、それらのチェックを有効にして、openssl s_clientでテストを実行すると、常に次のようになります。

Verify return code: 2 (unable to get issuer certificate)

私のnginx.confの関連部分は次のとおりです。

ssl                     on;
ssl_certificate         /etc/ssl/certs/server_cert.pem;
ssl_certificate_key     /etc/ssl/private/server_key.pem;

ssl_client_certificate  /etc/ssl/certs/IntermediateCA_chain.crt;
ssl_crl                 /etc/ssl/crl.pem;
ssl_verify_client       on;

ファイルIntermediateCA_chain.crtはPEM形式であり、IntermediateCAの証明書とその後のRootCAの証明書の両方で構成されます。

サイドノート：私がするときopenssl x509 -text -noout -in IntermediateCA_chain.crtIntermediateCAの証明書のみが表示されます。チェーンが表示されることを期待していました。それは正しい振る舞いですか？

次のコマンドで接続をテストします。

openssl s_client -connect server:995 -cert mycert.pem\
 -key mykeyfile.pem -debug -CAfile IntermediateCA_chain.pem

その結果

[...]
0b50 - b3 c3 3b 17 66 8e 52 b3-ad 7f 14                  ..;.f.R....
depth=1 DC = top, DC = ad, CN = Intermediate CA
verify error:num=2:unable to get issuer certificate
issuer= C = DE, O = My Company, CN = My Companies Root CA, emailAddress = [email protected]
read from 0x10f6a10 [0x10fe333] (5 bytes => 5 (0x5))
[...]

考えられるIntermediateCA_chain.pemのすべてのバリエーション（IntermediateCA.pem、RootCA.pem、IntermediateCA_chein.pem）を両側で試しました。

使用された-CAfileによってわずかに変化し、サーバーのログには何も表示されないため（文字通り何も-接続試行などなし）、障害はクライアント側にあるように見えます。サーバー側またはクライアント側のIntermediateCA_chain.pemが正しく読み取られていないように見えます。このエラーにより、opensslはIntermediateCAとそれによって発行された証明書を検証できなくなったようです。誰かが私がこの謎を解くのを手伝ってくれる？