Re: Как различить SSL сертификаты, выданные различными промежуточными ЦС собщим корневым ЦС?
Igor Sysoev
igor на sysoev.ru
Вт Сен 13 12:06:01 UTC 2011
On Fri, Sep 09, 2011 at 01:11:08PM -0400, Maximus43 wrote:
> Есть корневой центр сертификации RootCA.
> Он подписал сертификаты двух
> промежуточных ЦС: SubCA1 и SubCA2.
> Те в свою очередь выпустили по одному
> серверному сертификату и по одному
> клиентскому.
> Серверные сертификаты установлены на
> два независимых фронтенда с
> включенными опцииями ssl_verify_client on и
> ssl_verify_depth 2.
> В браузер импортирован один клиентский
> сертификат, будеи считать, что он
> выпущен SubCA1.
>
> Вопросы:
> 1. Почему с этим сертификатом доступен
> не тольео ресурс с серверным
> сертификатом, выпущенным SubCA1, но и SubCA2?
> 2. Как настроить nginx так, чтобы валидным
> считался только клиентский сертификат,
> выпущенный последним ЦС в цепочке
> сертификатов?
>
> Я пробовал менять ssl_verify_depth 2 на
> ssl_verify_depth 1, но это не помогает, проверка
> сертификата полностью прекращается.
http://sysoev.ru/nginx/docs/http/ngx_http_ssl_module.html
Поддерживается проверка сертификатов клиентов с ограничением — если
в файле, заданном директивой ssl_certificate, указана цепочка сертификатов,
то при проверке клиентских сертификатов nginx также будет использовать
и сертификаты этих промежуточных CA.
--
Игорь Сысоев
http://sysoev.ru
Подробная информация о списке рассылки nginx-ru