Во! -crl_check_all не хватало, теперь всё встало на места. Не хватало CRL от CA0. При этом, добавлять его в файл ssl_crl нельзя, будет вылезать ошибка подписи CRL. Итак, всё требуемое для проверки сертификата нужно класть в ssl_client_certificate. Imho, не мешало бы упомянуть такую фичу в мануале или в faq. =================== ssl_client_certificate /etc/pki/tls/certs/all-certs-and-crls.pem; # CA1.cer + CA1.crl + CA0.cer + CA0.crl ssl_crl /etc/pki/tls/certs/ca1.crl; # только CRL от CA1 ssl_verify_client on; ssl_verify_depth 2; ===================
Спасибо, всё работает. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,275146,275164#msg-275164 _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
