Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: SSL clientAuth
Andrew Kopeyko wrote:
>> указать, что в файле сертификатов для авторизации клиента должна лежать
>> вся цепочка. И про verify_depth развернуть более подробно, что-то типа:
>> 0 - клиентский self signed сертификат
>> 1 - клиентский сертификат, выпущенный на основе self signed CA
>> 2 - клиентский сертификат, выпущенный на основе сертификата,
>> подписанного третьей стороной (для авторизации требуется наличие всей
>> цепочки авторизующих сертификатов).
> Тогда было бы неплохо где-то в мануале ( ngx_http_ssl_module.html)
> Вот это неправильное понимание.
Очевидно, оно проистекает из неправильных объяснений? :)
> verify_depth указывает максимальную длину цепочки сертификатов от
> конечного до корня. Реальная длина цепочки может быть меньше.
>
> Поэтому:
> 0 - доверять только самоподписанным сертификатам
> 1 - доверять самоподписанным сертификатам и подписанным доверяемым СА
> 2 - доверять
> - самоподписанным сертификатам
> - подписанным доверяем СА
> - подписанным подчинённым СА, сертификат которого выпущен
> доверяемым СА
Вот отсюда путаница и начинается. Я "доверяю этому CA" когда делаю
-addtrust ... - и, в результате, ничего не работает. А вот если мы
говорим о "корневом CA" вместо "доверяемым CA" - тогда все встает на
свои места. 0 (self signed) - сам себе корневой CA, так что, он тоже
умещается в эту схему.
--
Best regards, Andrey Y. Ostanovsky
St. Petersburg
|
