Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: tunnel.stunnel.tunnels.NAME.verify

Что это такое?

Это режим проверки сертификата удалённой стороны.

Зачем это нужно?

Для аутентификации партнёра.

Как это настроить?

1
Проверять сертификат партнёра (по корневому сертификату и спискам недействительных сертификатов), если он присылается. Если сертификат недействителен по той или иной причине, то соединение отвергается. Если сертификат действителен или не прислан партнёром вообще, то соединение принимается.
2
Проверять сертификат партнёра всегда. Если сертификат не прислан или недействителен, соединение отвергается.
3
Дополнительно проверять партнёра по локальному списку действительных сертификатов. Эту опцию целесообразно использовать на сервере, обслуживающем большое число априори известных клиентов; если клиентский сертификат скомпрометирован, то достаточно просто удалить его копию и хэш с сервера.

По умолчанию проверка сертификата партнёра не производится, т.е. принимаются любые соединения.

В общем случае, проверка сертификатов выполняется в следующей последовательности:

  1. По локальному списку (параметр CApath, только при verify = 3).
  2. По локальному списку отозванных сертификатов (параметры CRLpath, CRLfile), если этот список задан в конфигурации. Если указанный список не задан или не существует, то все сертификаты считаются действительными.
  3. По централизованному серверу OCSP, если URL сервера указан в параметре OCSP. Если этот сервер не существует или недоступен, то все сертификаты считаются недействительными.

© Network Systems Group 2015–2024 Отдел документации