Чтобы гарантировать, который только доверял, клиентские приложения имеют доступ к экземпляру сервера, конфигурируют экземпляр сервера, чтобы потребовать аутентификации клиента:
Установите свойство настройки ssl-verify-peer-mode на verify-peer-require-peer-cert.
Сконфигурируйте экземпляр сервера, чтобы использовать систему, обеспеченную хранилище CA, сервер определенное хранилище CA или оба.
Используйте эти свойства настройки управлять хранилищами CA, используемыми экземпляром сервера:
x509-ca-file-store указывает, что PEM отформатировал хранилище CA, чтобы аутентифицировать клиенты.
x509-use-system-store направляет экземпляр сервера, чтобы использовать хранилище CA системы, чтобы аутентифицировать клиенты.
x509-use-system-store не работает над Windows.
Опционально сконфигурируйте экземпляр сервера, чтобы уважать любые списки аннулированных сертификатов (CRLs) в хранилище CA.
Задайте это поведение путем добавления свойства x509-use-crl в настройку сервера. Если это свойство не задано, экземпляр сервера игнорирует CRLs и может аутентифицировать клиенты, использующие отменяемые учетные данные.
Необходимо добавить список CRL в хранилище CA сервера прежде, чем добавить свойство x509-use-crl. Если хранилище CA не включает список CRL, катастрофические отказы сервера.
Эта выборка настройки конфигурирует экземпляр сервера, чтобы аутентифицировать клиенты, использующие системное хранилище CA и уважать CRLs:
... --https 9920 --x509-cert-chain ./x509/my-cert.pem --x509-private-key ./x509/my-key.pem --x509-passphrase ./x509/my-passphrase --ssl-verify-peer-mode verify-peer-require-cert --x509-use-system-store --x509-use-crl ...
