Для перемещения по дереву справки используйте строки заголовка.
Это директория, содержащая корневые сертификаты, действительные сертификаты партнёров и их хэши.
Для проверки действительности сертификата удалённой стороны.
Указать полный путь и имя файла, содержащего один или несколько корневых сертификатов. Фактическое имя директории выбирается следующим образом, в порядке приоритета:
1. значение, установленное для конкретного клиента или для туннеля
2. local_path/имя_клиента/capath
3. local_path/capath
4. глобальное значение
5. global_path/имя_клиента/capath
6. global_path/capath
Поскольку глобальный путь всегда непустой, то глобальный параметр capath также всегда определен и по умолчанию равен /etc/uitcp/certs/capath.
При получении сертификата от удалённой стороны корневой сертификат, на который он ссылается, сравнивается последовательно со всеми сертификатами в файле
cafile и в директории capath, вычисленных по вышеописанным правилам. Если ни одного совпадения не найдено, устройство отказывает удалённой стороне в аутентификации.
Если включена проверка по списку действительных сертификатов (certcheck, рекомендуется для сервера uiTCP), то в этой же директории ищется копия сертификата, полученного от удалённой стороны. Если она не найдена, сертификат считается недействительным (отозванным), даже если он подписан признанным корневые сертификатом.
Для поиска файлы сертификатов должны быть проиндексированы командой rehash (с правами пользователя root в его консольной оболочке bash).
| © Network Systems Group 2015–2024 | Отдел документации |