@@ -481,19 +481,31 @@ certificates will not be sent to clients on | off | - optional + optional | optional_no_ca off http server -Enables the client certificate verification. -The optional parameter (0.8.7+) requests the client -certificate and verifies it if it was present. +Enables verification of client certificates. The result of verification is stored in the $ssl_client_verify variable. + +The optional parameter (0.8.7+) requests the client +certificate, and if certificate was present, verifies it. + + + +The optional_no_ca parameter (1.3.8) requests the client +certificate but does not require it to be signed by a trusted CA certificate. +This is intended for the use in cases where actual certificate verification +is performed by a service that is external to nginx. +The contents of a certificate is made available through the +$ssl_client_cert variable. + + diff --git a/xml/ru/docs/http/ngx_http_ssl_module.xml b/xml/ru/docs/http/ngx_http_ssl_module.xml --- a/xml/ru/docs/http/ngx_http_ssl_module.xml +++ b/xml/ru/docs/http/ngx_http_ssl_module.xml @@ -10,7 +10,7 @@ + rev="4">

@@ -479,16 +479,29 @@ ssl_stapling_responder http://ocsp.examp on | off | - optional + optional | optional_no_ca off http server Разрешает проверку клиентских сертификатов. -Параметр optional (0.8.7+) запрашивает сертификат клиента -и проверяет его, если он предоставлен. -Результат проверки можно узнать в переменной $ssl_client_verify. +Результат проверки доступен через переменную +$ssl_client_verify. + + + +Параметр optional (0.8.7+) запрашивает клиентский +сертификат, и если сертификат был предоставлен, проверяет его. + + + +Параметр optional_no_ca (1.3.8) запрашивает сертификат +клиента, но не требует, чтобы он был подписан доверенным сертификатом CA. +Это предназначено для случаев, когда фактическая проверка сертификата +осуществляется внешним по отношению к nginx’у сервисом. +Содержимое сертификата доступно через переменную +$ssl_client_cert.