Можно настроить виртуальный хост, чтобы клиентский сертификат запрашивался только для одних подсетей?

Question

[alexeyburtasov]

Возможно ли настроить виртуальный хост так, чтобы клиентский сертификат запрашивался для одних подсетей, а для других нет?
Например при конфиге:

server {
  listen 443 ssl;
  server_name my.server.name;

  / .. /

  set $verify on;

  if ($remote_addr ~ ^192\.168\.*$) {
    set $verify off;
  }

  ssl_verify_client $verify; *

 / .. /
}

получаю invalid value "$verify" в строке *

Comments

[Saboteur]

Логично спрашивается вопрос, а такой вариант пробовал?

if ($remote_addr ~ ^192\.168\.*$) {
  ssl_verify_client off; *
}
else {
  ssl_verify_client on; *
}

[alexeyburtasov]

else на сколько я знаю в nginx нету, а так пробовал - ошибка. ssl_verify_client не работает в if, только в http и server

Answer 1

[AUser0]

Делайте через такой трюк.

Comments

[alexeyburtasov]

Спасибо за подсказку! Правда для решения ещё один трюк понадобился.

[AUser0]

alexeyburtasov, я бы рекомендовал. ..

ssl_verify_client	 optional;

  set $check "";
  if ($remote_addr !~ ^192\.168\..+$) { set $check "FA"; }
  if ($ssl_client_verify != SUCCESS) { set $check "${check}IL"; }
  if ($check = "FAIL") { return 403; }

Answer 2

[alexeyburtasov]

/ .. /

  ssl_verify_client	 optional;

	set $check "";

	if ($remote_addr !~ ^192\.168\..+$) { set $check FA; }

	if ($ssl_client_verify != SUCCESS) { set $check "${check}IL"; }

	if ($check = FAIL) { return 403; }

/ .. /