# HG changeset patch # User Sergey Kandaurov # Date 1425072678 -10800 # Node ID 06322891b4e3c276f6eecd2ecea79a35488a7e8b # Parent 933831d7bf0ba140aec253badffcdc12320ff214 Client certificate directives in mail_ssl_module and associates. diff -r 933831d7bf0b -r 06322891b4e3 xml/en/docs/mail/ngx_mail_auth_http_module.xml --- a/xml/en/docs/mail/ngx_mail_auth_http_module.xml Sat Feb 28 00:31:16 2015 +0300 +++ b/xml/en/docs/mail/ngx_mail_auth_http_module.xml Sat Feb 28 00:31:18 2015 +0300 @@ -10,7 +10,7 @@ + rev="6">
@@ -47,6 +47,23 @@ + +on | off +off +mail +server +1.7.11 + + +Appends the
Auth-SSL-Cert
header with the +client +certificate in the PEM format (urlencoded) +to requests sent to the authentication server. + + + + + time 60s @@ -185,6 +202,40 @@ + +For the SSL/TLS client connection (1.7.11), +the
Auth-SSL
header is added, and +
Auth-SSL-Verify
will contain +the result of client certificate verification, if +enabled: +“SUCCESS”, “FAILED”, and +“NONE” if a certificate was not present. +When the client certificate was present, +its details are passed in the following request headers: +
Auth-SSL-Subject
,
Auth-SSL-Issuer
, +
Auth-SSL-Serial
, and
Auth-SSL-Fingerprint
. +If is enabled, +the certificate itself is passed in the +
Auth-SSL-Cert
header. +The request will look as follows: + +GET /auth HTTP/1.0 +Host: localhost +Auth-Method: plain +Auth-User: user +Auth-Pass: password +Auth-Protocol: imap +Auth-Login-Attempt: 1 +Client-IP: 192.0.2.42 +Auth-SSL: on +Auth-SSL-Verify: SUCCESS +Auth-SSL-Subject: /CN=example.com +Auth-SSL-Issuer: /CN=example.com +Auth-SSL-Serial: C07AD56B846B5BFF +Auth-SSL-Fingerprint: 29d6a80a123d13355ed16b4b04605e29cb55a5ad + + +
diff -r 933831d7bf0b -r 06322891b4e3 xml/en/docs/mail/ngx_mail_ssl_module.xml --- a/xml/en/docs/mail/ngx_mail_ssl_module.xml Sat Feb 28 00:31:16 2015 +0300 +++ b/xml/en/docs/mail/ngx_mail_ssl_module.xml Sat Feb 28 00:31:18 2015 +0300 @@ -10,7 +10,7 @@ + rev="5">
@@ -110,6 +110,43 @@ + +file + +mail +server +1.7.11 + + +Specifies a file with trusted CA certificates in the PEM format +used to verify client certificates. + + + +The list of certificates will be sent to clients. +If this is not desired, the +directive can be used. + + + + + + +file + +mail +server +1.7.11 + + +Specifies a file with revoked certificates (CRL) +in the PEM format used to verify +client certificates. + + + + + file @@ -346,6 +383,77 @@ + +file + +mail +server +1.7.11 + + +Specifies a file with trusted CA certificates in the PEM format +used to verify client certificates. + + + +In contrast to the certificate set by , +the list of these certificates will not be sent to clients. + + + + + + + + on | off | + optional | optional_no_ca +off +mail +server +1.7.11 + + +Enables verification of client certificates. +The verification result is passed in the +
Auth-SSL-Verify
header of the +authentication +request. + + + +The optional parameter requests the client +certificate and verifies it if the certificate is present. + + + +The optional_no_ca parameter +requests the client +certificate but does not require it to be signed by a trusted CA certificate. +This is intended for the use in cases when a service that is external to nginx +performs the actual certificate verification. +The contents of the certificate is accessible through requests +sent +to the authentication server. + + + + + + +number +1 +mail +server +1.7.11 + + +Sets the verification depth in the client certificates chain. + + + + + on | diff -r 933831d7bf0b -r 06322891b4e3 xml/ru/docs/mail/ngx_mail_auth_http_module.xml --- a/xml/ru/docs/mail/ngx_mail_auth_http_module.xml Sat Feb 28 00:31:16 2015 +0300 +++ b/xml/ru/docs/mail/ngx_mail_auth_http_module.xml Sat Feb 28 00:31:18 2015 +0300 @@ -10,7 +10,7 @@ + rev="6">
@@ -47,6 +47,23 @@ + +on | off +off +mail +server +1.7.11 + + +Добавляет заголовок
Auth-SSL-Cert
с +клиентским +сертификатом в формате PEM (закодирован в формате urlencode) +к запросам, посылаемым на сервер аутентификации. + + + + + время 60s @@ -183,6 +200,40 @@ + +Для клиентского соединения по протоколу SSL/TLS (1.7.11) +добавляется заголовок
Auth-SSL
, и если директива + включена, +заголовок
Auth-SSL-Verify
содержит +результат проверки клиентского сертификата: +“SUCCESS”, “FAILED” и, +если сертификат не был предоставлен — “NONE”. +Если клиентский сертификат был предоставлен, +информация о нём передаётся в следующих заголовках запроса: +
Auth-SSL-Subject
,
Auth-SSL-Issuer
, +
Auth-SSL-Serial
и
Auth-SSL-Fingerprint
. +Если директива включена, +сам сертификат передаётся в заголовке +
Auth-SSL-Cert
. +Запрос будет выглядеть так: + +GET /auth HTTP/1.0 +Host: localhost +Auth-Method: plain +Auth-User: user +Auth-Pass: password +Auth-Protocol: imap +Auth-Login-Attempt: 1 +Client-IP: 192.0.2.42 +Auth-SSL: on +Auth-SSL-Verify: SUCCESS +Auth-SSL-Subject: /CN=example.com +Auth-SSL-Issuer: /CN=example.com +Auth-SSL-Serial: C07AD56B846B5BFF +Auth-SSL-Fingerprint: 29d6a80a123d13355ed16b4b04605e29cb55a5ad + + +
diff -r 933831d7bf0b -r 06322891b4e3 xml/ru/docs/mail/ngx_mail_ssl_module.xml --- a/xml/ru/docs/mail/ngx_mail_ssl_module.xml Sat Feb 28 00:31:16 2015 +0300 +++ b/xml/ru/docs/mail/ngx_mail_ssl_module.xml Sat Feb 28 00:31:18 2015 +0300 @@ -10,7 +10,7 @@ + rev="5">
@@ -110,6 +110,44 @@ + +файл + +mail +server +1.7.11 + + +Указывает файл с доверенными сертификатами CA в формате +PEM, которые используются для +проверки клиентских сертификатов. + + + +Список сертификатов будет отправляться клиентам. +Если это нежелательно, можно воспользоваться директивой +. + + + + + + +файл + +mail +server +1.7.11 + + +Указывает файл с отозванными сертификатами (CRL) +в формате PEM, используемыми для +проверки клиентских сертификатов. + + + + + файл @@ -346,6 +384,77 @@ + +файл + +mail +server +1.7.11 + + +Задаёт файл с доверенными сертификатами CA в формате PEM, +которые используются для +проверки клиентских сертификатов. + + + +В отличие от , список этих сертификатов +не будет отправляться клиентам. + + + + + + + + on | off | + optional | optional_no_ca +off +mail +server +1.7.11 + + +Разрешает проверку клиентских сертификатов. +Результат проверки передаётся в заголовке +
Auth-SSL-Verify
в запросе +аутентификации. + + + +Параметр optional запрашивает клиентский +сертификат, и если сертификат был предоставлен, проверяет его. + + + +Параметр optional_no_ca +запрашивает сертификат +клиента, но не требует, чтобы он был подписан доверенным сертификатом CA. +Это предназначено для случаев, когда фактическая проверка сертификата +осуществляется внешним по отношению к nginx’у сервисом. +Содержимое сертификата доступно в запросах, +посылаемых +на сервер аутентификации. + + + + + + +число +1 +mail +server +1.7.11 + + +Устанавливает глубину проверки в цепочке клиентских сертификатов. + + + + + on |