Авторизация с помощью ЭЦП

Добрый день. Для нашего портала при авторизации используем ЭЦП пользователя. Т.е. когда пользователь открывает страницу, браузер предлагает ему выбрать сертификат для авторизации. Были установлены и боевые и тестовые корневые сертификаты в браузере. Цель - использовать тестовый сертификат физического лица из комплекта разработчика. Проблема в том, что браузер не предлагает для выбора именно тестовый сертификат (боевые сертификаты для выбора предлагает). Хотели удостовериться, что используем верный CA на стороне nginx в ssl_client_certificate, но нет нигде информации на сайте. Может быть что-то не так с тестовым сертификатом или CA в nginx?

Здравствуйте. Если вы используете правильные корневые сертификаты указанные в SDK и если вы не выявили конкретную ошибку, то сложно определить в чем именно может быть проблема. Уточните какой информации нет на сайте?

Какой именно корневой сертификат нужно разместить для тэга ssl_client_certificate в nginx так, чтобы тестовый ключ проходил проверку и его можно было выбрать?
Поисковик показывает похожую тему из старого форума, но в самом форуме ее найти невозможно, нужна авторизация, а зарегистрироваться там нельзя.

Тестовые корневые указаны в SDK. Чтобы удостовериться, что вы используете нужный корневой сравните расширение “Идентификатор ключа центра сертификации” в проверямем сертификате и расширение “Идентификатор ключа субъекта” в корневом сертификате.

Вы имеете в виду эту тему? https://pki.gov.kz/forum/7-dlya-razrabotchikov/506-nastrojka-proverki-sertifikatov-limit=6&start=24.html

Проверили, совпадает, но nginx не запускается с тестовым корневым. Сейчас у нас в
nginx размещен старый сертификат. С ним отрабатывают боевые ключи. В нем есть ссылка на инфо http://pki.gov.kz/info/ca_policy.pdf, которая не работает. Может быть там мы могли бы найти нужные инструкции

В нем есть ссылка на инфо http://pki.gov.kz/info/ca_policy.pdf

Это в сертификатах выпущенных до 2015 года? Эти сертификаты уже давно не действительны.
Политики можете найти здесь https://pki.gov.kz/cps/

Это в сертификатах выпущенных до 2015 года? Эти сертификаты уже давно не действительны.

Нашли тот самый сертификат на странице разработчиков в разделе Архивные регистрационные свидетельства НУЦ РК. Не смотря на то, что он истек, боевые сертификаты с ним отрабатывают, и только тестовый ни один не работает.
Если прочесть тот старый сертификат, он состоит из пяти сертификатов внутри, а текущие сертификаты, как боевые, так и тестовые состоят из одного. С ними не открываются ни тестовые ни боевые ключи. Может быть нужно делать какую-то отпределенную связку сразу из нескольких этих сертификатов в определенном порядке??

В общем, тестовые сертификаты не проходят стандартную проверку CA. Отключили проверку на уровне nginx…

Возможно цепочка не выстраевается, если вы указываете только сертификат НУЦа (https://pki.gov.kz/cert/nca_rsa.crt). Сертификат НУЦа выдан КУЦом: https://pki.gov.kz/cert/root_rsa.crt