我必须配置Nginx以接受客户端自签名证书。 问题是证书应由客户自己准备并由他们签名。我知道这种方法的缺点,但这是客户要求。 目前,Nginx已配置为接受由我自己的CA(不可信)签名的客户端证书。 ssl_client_certificate指向ca.crt。 客户需要大约100个客户端证书,每个证书都由不同的不受信任的CA签名 - 不受链接。 我应该如何配置Nginx以这种方式工作?我相信我应该准备包含每个客户端证书,CA证书的文件。还要别的吗?
答案 0 :(得分:0)
为什么不使用CACert?这样每个客户端都可以生成他们的证书(比自己做的更容易)并且只在ssl_client_certificate只保留一个CA.
否则,您必须在指向ssl_client_certificate的文件中连接所有CA.
或者,您可以为每个用户发放CA中间CA(然后每个用户生成他们的证书),并且仅在ssl_client_certificate使用您的CA,并指定正确的ssl_verify_depth:
ssl_verify_client on; # or optional
ssl_verify_depth 2; # >1, depending on your CA chain