Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Как различить SSL сертифика ты, выданные различными промежуточными ЦС собщи м корневым ЦС?
- To: nginx-ru@xxxxxxxxx
- Subject: Как различить SSL сертифика ты, выданные различными промежуточными ЦС собщи м корневым ЦС?
- From: "Maximus43" <nginx-forum@xxxxxxxx>
- Date: Fri, 09 Sep 2011 13:11:08 -0400
- Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mickey.jlkhosting.com; s=x; h=Date:Sender:From:Message-ID:Content-Transfer-Encoding:Content-Type:Subject:To; bh=S5AQqfv5Qer6S7lxh2uNUlE+5UuJVA0XOH90qga4kIY=; b=tmb2Mg5/VVxzJnXQ4HHaEJwPiosDqcDephdWwVhBtzTWCIozWD7TNZ7rqCvKy1Qfa721viuWEjYkWZ9Ah6gPzPuca3rdpDcQqhv8FX+K2Az0WSepCXwC9GZ2lEbMWUUv;
Есть корневой центр сертификации RootCA.
Он подписал сертификаты двух
промежуточных ЦС: SubCA1 и SubCA2.
Те в свою очередь выпустили по одному
серверному сертификату и по одному
клиентскому.
Серверные сертификаты установлены на
два независимых фронтенда с
включенными опцииями ssl_verify_client on и
ssl_verify_depth 2.
В браузер импортирован один клиентский
сертификат, будеи считать, что он
выпущен SubCA1.
Вопросы:
1. Почему с этим сертификатом доступен
не тольео ресурс с серверным
сертификатом, выпущенным SubCA1, но и SubCA2?
2. Как настроить nginx так, чтобы валидным
считался только клиентский сертификат,
выпущенный последним ЦС в цепочке
сертификатов?
Я пробовал менять ssl_verify_depth 2 на
ssl_verify_depth 1, но это не помогает, проверка
сертификата полностью прекращается.
Заранее спасибо!
Posted at Nginx Forum:
http://forum.nginx.org/read.php?21,215034,215034#msg-215034
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|
