История изменений
Исправление
gh0stwizard,
(текущая версия)
:
Странная задача ибо nginx позволяет (apache по идее это тоже должен уметь, но не тестировал):
а) обеспечивать надежное шифрование когда имеется внешний СА
б) внешний CA предоставляет подписанный серверный сертификат (server.crt) без разрешения подписывать клиентские сертификаты (client.crt), но имеется policy на проверку сервера/клиента
б) CRL-список (list.crl)/клиентские сертификаты (client.crt) могут быть сгенерированы и подписаны собственным, локальным, CA и корректно проходить валидацию, т.к. у nginx для этого есть специальные дерективы для этого ssl_crl и ssl_client_certificate
Таким образом, в сети продаются недорогие сертификаты, которые многих устраивают. В конечно виде конфиг примерно такой:
# все что подписанно внешним СА (читай купленно по-дешевке)
ssl_certificate /etc/nginx/cert.crt;
ssl_certificate_key /etc/nginx/cert.key;
#локально сгенерированная часть
ssl_client_certificate /etc/nginx/ca.pem;
ssl_crl /etc/nginx/crl.pem;
#включаем проверку клиента
ssl_verify_client on;
#подстраиваем количество уровней валидаций сертификатов
ssl_verify_depth 2;
Исходная версия
gh0stwizard,
:
Странная задача ибо nginx позволяет (apache по идее это тоже должен уметь, но не тестировал):
а) обеспечивать надежное шифрование когда имеется внешний СА
б) внешний CA предоставляет подписанный серверный сертификат (server.crt) без разрешения подписывать клиентские сертификаты (client.crt), но имеется policy на проверку сервера/клиента
б) CRL-список (list.crl)/клиентские сертификаты (client.crt) могут быть сгенерированы и подписаны собственным, локальным, CA и корректно проходить валидацию, т.к. у nginx для этого есть специальные дерективы для этого ssl_crl и ssl_client_certificate
Таким образом, в сети продаются недорогие сертификаты, которые многих устраивают.