Как различить SSL сертификаты, выданные различными промежуточными ЦС собщим корневым ЦС?

Maximus43 nginx-forum на nginx.us
Пт Сен 9 17:11:08 UTC 2011


Есть корневой центр сертификации RootCA.
Он подписал сертификаты двух
промежуточных ЦС: SubCA1 и SubCA2.
Те в свою очередь выпустили по одному
серверному сертификату и по одному
клиентскому.
Серверные сертификаты установлены на
два независимых фронтенда с
включенными опцииями ssl_verify_client on и
ssl_verify_depth 2.
В браузер импортирован один клиентский
сертификат, будеи считать, что он
выпущен SubCA1.

Вопросы:
1. Почему с этим сертификатом доступен
не тольео ресурс с серверным
сертификатом, выпущенным SubCA1, но и SubCA2?
2. Как настроить nginx так, чтобы валидным
считался только клиентский сертификат,
выпущенный последним ЦС в цепочке
сертификатов?

Я пробовал менять ssl_verify_depth 2 на
ssl_verify_depth 1, но это не помогает, проверка
сертификата полностью прекращается.

Заранее спасибо!

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,215034,215034#msg-215034



Подробная информация о списке рассылки nginx-ru