Re: И снова по TLS и аутентификации
2D77rus
nginx-forum на forum.nginx.org
Вт Июн 27 15:25:57 UTC 2017
Во! -crl_check_all не хватало, теперь всё встало на места. Не хватало CRL от
CA0.
При этом, добавлять его в файл ssl_crl нельзя, будет вылезать ошибка подписи
CRL.
Итак, всё требуемое для проверки сертификата нужно класть в
ssl_client_certificate.
Imho, не мешало бы упомянуть такую фичу в мануале или в faq.
===================
ssl_client_certificate /etc/pki/tls/certs/all-certs-and-crls.pem;
# CA1.cer + CA1.crl + CA0.cer + CA0.crl
ssl_crl /etc/pki/tls/certs/ca1.crl;
# только CRL от CA1
ssl_verify_client on;
ssl_verify_depth 2;
===================
Спасибо, всё работает.
Posted at Nginx Forum: https://forum.nginx.org/read.php?21,275146,275164#msg-275164
Подробная информация о списке рассылки nginx-ru