Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: SSL clientAuth
Andrew Kopeyko wrote:
> - Цепочка сертификатов должна быть построена до корня.
> - Проверка цепочки заканчивается на сертификате корневого CA.
> - Если этот сертификат входит в список доверяемых - мы автоматически
> доверяем и всем подчинённым ему сертификатам, конечным и промежуточным
> CA.
> - Решение о доверии может быть принято и ранее - если выдавший
> конечный сертификат промежуточный CA внесён в наш список доверяемых.
Вот последний-то постулат как раз и не работает с промежуточным CA пока
не внесешь в список доверенных корневой сертификат и не увеличишь
verify_depth на единицу. Собственно, я об этом и писал первоначальное
письмо.
# openssl x509 -purpose -noout -in department.pem
Certificate purposes:
SSL client : No
SSL client CA : Yes
SSL server : No
SSL server CA : Yes
Netscape SSL server : No
Netscape SSL server CA : Yes
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : Yes
CRL signing CA : Yes
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : Yes
--
Best regards, Andrey Y. Ostanovsky
St. Petersburg
|
