Настройка профилей клиентских сертификатов

name

Название профиля клиентского сертификата

username-field

Выбор поля в сертификате, по которому определяется имя пользователя, используемое при аутентификации:

• common —  доменное имя или имя хоста в поле Subject, для которых предназначен сертификат.

• email — для определения имени пользователя используется параметр с префиксом email в расширении SAN (Subject Alternative Name).

• principal — для определения имени пользователя используется параметр Universal Principal Name (UPN), содержащийся в поле otherName в расширении SAN.

Если в полях расширения SAN сертификата указано несколько имен UPN или несколько адресов email, берется первый, указанный в сертификате

crl

В списках отзыва сертификатов (CRL) содержатся сертификаты, которые были отозваны и больше не могут использоваться. В этот список входят сертификаты, срок действия которых истек или они были скомпрометированы.

Параметр для проверки состояния отзыва сертификатов:

• off — не проверять ни один сертификат.

• on — проверять все сертификаты в цепочке и требовать, чтобы они все были валидными.

• peer  — проверять только сертификат клиента.

• best-effort — если проверить CRL не удалось по какой-то причине, то сертификат считается валидным (при этом он всё равно проверяется и может вернуть статус invalid, если сертификат есть в списке отозванных)