客户端认证过程的目的是否只是为了证明您在 SSLCACertificateFile(在 conf 文件中)拥有的 CA 已为客户端担保?如果 CA 是众所周知的 CA,那么任何拥有该 CA 签名的公共证书的人都可以作为有效客户端通过?对整个客户端身份验证的事情有点困惑。
问问题
514 次
1 回答
0
对,但是:
- 例如,在私有设置中,您也可以使用私有内部 CA,这样您就可以控制谁获得证书。
- 查看SSLOptions 指令,该
FakeBasicAuth
案例在某些情况下会有所帮助 - 更一般地说,您有SSLRequire 指令,您可以在其中根据所提供证书的任何组件(例如其 CN)限制访问。
文档中给出的示例:
SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \
and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
and %{TIME_WDAY} -ge 1 and %{TIME_WDAY} -le 5 \
and %{TIME_HOUR} -ge 8 and %{TIME_HOUR} -le 20 ) \
or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
请注意,SSLRequire
现在不赞成使用Require
几乎是它的严格超集。您在https://httpd.apache.org/docs/2.4/expr.html上有关于如何测试的详细信息,以及https://httpd.apache.org/docs/2.4/mod/mod_ssl 的开头。 html显示您可以测试的所有可能的“SSL”变量,例如:
SSL_CLIENT_M_SERIAL string The serial of the client certificate
SSL_CLIENT_S_DN string Subject DN in client's certificate
SSL_CLIENT_S_DN_x509 string Component of client's Subject DN
于 2019-01-22T19:03:46.587 回答