Tenho tido o erro de título do meu navegador ao tentar configurar o servidor de SSL com o nginx activado com a verificação do cliente em

abaixo está a minha magia.conf:

keepalive_timeout  100;

server_tokens off;

server {
    listen 10.111.1.11:11111;
    server_name localhost;
    ssl on;
    ssl_certificate ca.crt;
    ssl_certificate_key newca.key;
    ssl_client_certificate client.crt;
    ssl_verify_client on;

    location / {
        root html;
        index index.html index.htm;
        proxy_ssl_session_reuse off;
        proxy_pass http://10.111.1.11::1234;
        proxy_ssl_name 10.111.1.11;
        proxy_ssl_server_name on;
        proxy_ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        proxy_ssl_ciphers HIGH:!aNULL:!MD5;
        proxy_ssl_certificate ca.crt;
        proxy_ssl_certificate_key newca.key;
    }
}

E Abaixo estão os meus passos na geração dos certificados e chaves.

Crie a chave e o certificado da AC para assinar os certificados do cliente

openssl genrsa -des3 -out ca.key 4096
openssl req -new -x509 -days 365 -key ca.key -out ca.crt

criar a chave do cliente e a RSE

openssl genrsa -des3 -out client.key 4096
openssl req -new -key client.key -out client.csr

o nome da minha organização,nome comum, e-mail são diferentes para ca.crt e cliente.crt valores

Nome Comum para ca.crt é o servidor IP

nome comum para cliente.crt é o cliente IP

Assina o certificado de cliente com o nosso certificado de AC

openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt

converter para .P12 import in OSX works

openssl pkcs12 -export -clcerts -inkey client.key -in client.crt -out client.p12 -name "MyKey"

a frase-senha foi removida tanto para as chaves da AC como para as chaves do cliente

openssl rsa -in ca.key -out newca.key

openssl rsa -in client.key -out newclient.key

Tentei carregar o cliente.crt e cliente.p12 para o meu navegador como autoridades de certificação de raiz confiável e ainda sem sucesso (mesmo erro).

Alguma dica?