我必须配置Nginx以接受客户端自签名证书 . 问题是证书应由客户自己准备并由他们签名 . 我知道这种方法的缺点,但这是客户要求 . 目前,Nginx已配置为接受由我自己的CA(不可信)签名的客户端证书 . ssl_client_certificate指向ca.crt . 客户需要大约100个客户端证书,每个证书都由不同的不受信任的CA签名 - 不受链接 . 我应该如何配置Nginx以这种方式工作?我相信我应该准备包含每个客户端证书,CA证书的文件 . 还要别的吗?
你为什么不用CACert?这样每个客户端都可以生成他们的证书(比自己做的更容易)并且您只能在 ssl_client_certificate 处持有一个CA.
ssl_client_certificate
否则,您必须在为 ssl_client_certificate 指出的文件中连接所有CA.
或者,您可以为每个用户发出CA中间CA(然后每个用户生成他们的证书),并且只在 ssl_client_certificate 使用您的CA,并指定正确的 ssl_verify_depth :
ssl_verify_depth
ssl_verify_client on; # or optional ssl_verify_depth 2; # >1, depending on your CA chain
1 回答
你为什么不用CACert?这样每个客户端都可以生成他们的证书(比自己做的更容易)并且您只能在
ssl_client_certificate
处持有一个CA.否则,您必须在为
ssl_client_certificate
指出的文件中连接所有CA.或者,您可以为每个用户发出CA中间CA(然后每个用户生成他们的证书),并且只在
ssl_client_certificate
使用您的CA,并指定正确的ssl_verify_depth
: