请问我在 startSSL 申请的免费证书，能用来制作双向认证的证书吗？

@9xrtp7r1 按我14楼给的配置就好，或者参照你原本的配置，只要把 ssl_certificate 改成startssl签发的证书就好，ssl_certificate_key改为配套的私钥，其他不用动

@ooxxcc 谢谢 我试试 ，那这样 会不会 其他人 申请一个 startssl的证书 也能访问我的网站呀

@9xrtp7r1 所以需要你在应用层，或者apache/nginx那里检查客户端证书

@vibbow 哦哦 我就是想让nginx帮我检查证书，如果正确，就让通过， 否则就什么都不返回，



我设想的， 给客户的证书，他们的邮箱都是 公司域名邮箱， @后面的后缀是 公司的域名， 如果写代码判断，只要获取客户证书里面的邮箱 判断是不是 公司的域名，就可以完成验证，.

但我不知道 如何在nginx里面做这个判断逻辑， 也不知道如何获取客户证书的信息

@9xrtp7r1 如果是你给客户证书，那么八成是你自签名的证书了。
那你第一步要做的是按照我前面博客上的教程，把你自签名证书的CA添加到系统证书库里。

然后我在Apache里是这样认证的，不确定Nginx里怎么写：

<VirtualHost *:443>
..............

SSLEngine on
Header add Strict-Transport-Security: "max-age=15768000"

SSLVerifyClient require
SSLVerifyDepth 10
SSLOptions +StdEnvVars

<Location />
SSLRequire %{SSL_CLIENT_I_DN_O} eq "WoSign CA Limited" \
and %{SSL_CLIENT_S_DN_Email} eq "vibbow@hotmail.com"
</Location>
</VirtualHost>

这样Apache就会进行双向认证，同时检查客户端SSL证书必须是WoSign颁发给我这个邮箱的。

@9xrtp7r1 你还是没弄懂，服务端认证客户端用的是你自己签发的CA。。。。就不是startssl那套了

@ooxxcc 哦哦 如此的话，那我和服务器连接的时候用的是startssl的证书吗，如果自己签发的话，那浏览器上面就不会显示绿色的哦 就会说没有信任

@9xrtp7r1 oxxcc说的是，你浏览器验证，就是客户在访问你网站的时候，你是使用的是StartSSL的证书，然后需要认证 的时候，你使用的是你自己的CA证书，这两个是互不影响的

@SharkIng 非常感谢