на моем веб-сайте я хочу, чтобы пользователи имели клиентские сертификаты для обеспечения дальнейшего доступа.я следую этой статье здесь , но у него есть сертификат клиента, жестко закодированный в конфигурации nginx.
server {
listen 443 ssl;
server_name example.com;
ssl_protocols TLSv1.1 TLSv1.2;
# letsencrypt certificate
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# client certificate
ssl_client_certificate /etc/nginx/client_certs/ca.crt;
# make verification optional,
# who fail authentication
ssl_verify_client optional;
}
в моем случае может быть несколько пользователей, и они могут генерировать и отзывать сертификаты динамически, выпускаязапрос .Как должна выглядеть конфигурация nginx в этом случае?
Я нашел вопрос не SO с несколько уместным названием , но сам вопрос другой, в моем случае у меня есть настройка PKI, поэтомуэто обычный ROOT CA & intermidiate CA, который используется для подписания клиентских сертификатов
РЕДАКТИРОВАТЬ: Основываясь на моих дальнейших исследованиях, я думаю, как это обрабатывается (не уверен, пока яможет реализовать это), чтобы иметь ssl_verify_client optional_no_ca в nginx, а затем передать данные ssl в веб-приложение и затем выполнить некоторые проверки там.