Hello! On Mon, Sep 26, 2022 at 06:48:16PM -0400, oradba25 wrote:
> Добрый день > > В документации есть фраза, что "Начиная с версии 1.11.0 эта директива > [ssl_certificate] может быть указана несколько раз для загрузки сертификатов > разных типов, например RSA и ECDSA" > > Вопрос -- можно ли использовать при этом цепочки разных ЦА, например > GlobalSign и МинЦифры > > Для чего, понятно, в связи с текущими событиями плавно перейти на Российские > сертификаты > > Или это можно сделать каким-либо другим способом не дублируя конфигурацию в > разных виртуальных серверах? Выбор между RSA- и ECDSA-сертификатами делается на основе поддерживаемых клиентом шифронаборов: если для соединения будет выбран шифронабор с аутентификацией через ECDSA, то будет использован ECDSA-сертификат, а если с аутентификацией через RSA - то RSA-сертификат. При этом сертификаты предполагаются одинаковыми с точки зрения доверия клиентов. Для выбора между "российскими сертификатами" и нормальными на сервере нужно знать, примет ли клиент "российский сертификат", или же доверяет только тем корневым CA, наличия которых можно ожидать в стандартных браузерах. Такой информации в рамках установления SSL-соединения на сервере просто нет. Соответственно выбор придётся делать на основе отдельного имени сервера, если вы хотите выбор. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org
