Что это такое?

Это режим проверки сертификата удалённой стороны.

Зачем это нужно?

Для аутентификации партнёра.

Как это настроить?

1

Проверять сертификат партнёра (по корневому сертификату и спискам недействительных сертификатов), если он присылается. Если сертификат недействителен по той или иной причине, то соединение отвергается. Если сертификат действителен или не прислан партнёром вообще, то соединение принимается.

2

Проверять сертификат партнёра всегда. Если сертификат не прислан или недействителен, соединение отвергается.

3

Дополнительно проверять партнёра по локальному списку действительных сертификатов. Эту опцию целесообразно использовать на сервере, обслуживающем большое число априори известных клиентов; если клиентский сертификат скомпрометирован, то достаточно просто удалить его копию и хэш с сервера.

По умолчанию проверка сертификата партнёра не производится, т.е. принимаются любые соединения.

В общем случае, проверка сертификатов выполняется в следующей последовательности:

1. По локальному списку (параметр CApath, только при verify = 3).
2. По локальному списку отозванных сертификатов (параметры CRLpath, CRLfile), если этот список задан в конфигурации. Если указанный список не задан или не существует, то все сертификаты считаются действительными.
3. По централизованному серверу OCSP, если URL сервера указан в параметре OCSP. Если этот сервер не существует или недоступен, то все сертификаты считаются недействительными.