разобрался ))<br><br>проблема решается через<br><br>error_page 495 = @go;<br><br><div class="gmail_quote">23 июня 2011 г. 11:49 пользователь Илья Шипицин <span dir="ltr">&lt;<a href="mailto:chipitsine@gmail.com">chipitsine@gmail.com</a>&gt;</span> написал:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Добрый день!<br><br>хочется реализовать такую логику:<br><br>1) если у пользователя сертификата нет - ок, пускаем его так<br>
2) если сертификат предъявил (раз сервер его спрашивает), то независимо от того, можем мы его проверить или нет - пускаем (но фиксируем успешность проверки в nginx-овых переменных)<br>
<br>я так понимаю, что с ssl_verify_client on/off я пролетаю и надо смотреть в сторону ssl_verify_client optional ?<br><br>в этом случае всё почти так, как я хочу, но если клиентский сертификат проверить не удалось (допустим, он выдан каким-то УЦ для клиент-банка, которого у меня сроду нет), то я получаю 400-ю ошибку.<br>

<br>дальше по логике надо бы эту ошибку перехватить и тупо пробросить на прокси, но почему-то следующая конструкция в данном случае не работает:<br><br>error_page 400 @go;<br><br>        location @go {<br>            access_log off;<br>

<br>как-то можно выкрутиться из этой ситуации ?<br><font color="#888888"><br>Илья Шипицин<br><br>
</font></blockquote></div><br>