ssl_verify_client

Andrey Y. Ostanovsky andrey at ostanovsky.spb.ru
Thu Aug 3 17:54:02 MSD 2006


Denis Shaposhnikov wrote:
> Andrey> Может, таки разными сертификатами подписано?
>
> Как это проверить?
>   
В выводе этих команд есть данные о подписавшей стороне. Но без поллитра
во всем этом многообразии не разберешься.:)
> Да и как оно может быть разными сертификатами подписано, если я при
> генерации клиентского сертификата сделал -sign с этим cacert.pem?
> Может имеет значение то, что cacert.pem self-signed?
>   
Нет. Вот то, что тот, которым signed должен иметь всякие флаги, типа:
            X509v3 Basic Constraints:
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment,
Data Encipherment, Certificate Sign, CRL Sign

Или в теримнах конфига:
[ v3_req ]
        subjectAltName          = email:copy
        basicConstraints        = CA:true
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment,
dataEncipherment, keyCertSign, cRLSign
         nsCertType              = sslCA

Хотя, вчера у меня и безо всех этих ухищрений заработало. Это для
токена, как выяснилось, нужны такие рюшечки.:(

Дабы не перегружать рассылку - сделал небольшое howto
http://www.binkd.spb.ru/howto/ssl_certificates.howto.txt.

-- 
Best regards, Andrey Y. Ostanovsky
St. Petersburg



More information about the nginx-ru mailing list