Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Как различить SSL сертифи каты, выданные различным и промежуточными ЦС собщ им корневым ЦС?
On Fri, Sep 09, 2011 at 01:11:08PM -0400, Maximus43 wrote:
> Есть корневой центр сертификации RootCA.
> Он подписал сертификаты двух
> промежуточных ЦС: SubCA1 и SubCA2.
> Те в свою очередь выпустили по одному
> серверному сертификату и по одному
> клиентскому.
> Серверные сертификаты установлены на
> два независимых фронтенда с
> включенными опцииями ssl_verify_client on и
> ssl_verify_depth 2.
> В браузер импортирован один клиентский
> сертификат, будеи считать, что он
> выпущен SubCA1.
>
> Вопросы:
> 1. Почему с этим сертификатом доступен
> не тольео ресурс с серверным
> сертификатом, выпущенным SubCA1, но и SubCA2?
> 2. Как настроить nginx так, чтобы валидным
> считался только клиентский сертификат,
> выпущенный последним ЦС в цепочке
> сертификатов?
>
> Я пробовал менять ssl_verify_depth 2 на
> ssl_verify_depth 1, но это не помогает, проверка
> сертификата полностью прекращается.
http://sysoev.ru/nginx/docs/http/ngx_http_ssl_module.html
Поддерживается проверка сертификатов клиентов с ограничением ? если
в файле, заданном директивой ssl_certificate, указана цепочка сертификатов,
то при проверке клиентских сертификатов nginx также будет использовать
и сертификаты этих промежуточных CA.
--
Игорь Сысоев
http://sysoev.ru
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|