0

客户端认证过程的目的是否只是为了证明您在 SSLCACertificateFile(在 conf 文件中)拥有的 CA 已为客户端担保?如果 CA 是众所周知的 CA,那么任何拥有该 CA 签名的公共证书的人都可以作为有效客户端通过?对整个客户端身份验证的事情有点困惑。

4

1 回答 1

0

对,但是:

  1. 例如,在私有设置中,您也可以使用私有内部 CA,这样您就可以控制谁获得证书。
  2. 查看SSLOptions 指令,该FakeBasicAuth案例在某些情况下会有所帮助
  3. 更一般地说,您有SSLRequire 指令,您可以在其中根据所提供证书的任何组件(例如其 CN)限制访问。

文档中给出的示例:

SSLRequire (    %{SSL_CIPHER} !~ m/^(EXP|NULL)-/                   \
            and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd."          \
            and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}    \
            and %{TIME_WDAY} -ge 1 and %{TIME_WDAY} -le 5          \
            and %{TIME_HOUR} -ge 8 and %{TIME_HOUR} -le 20       ) \
           or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/

请注意,SSLRequire现在不赞成使用Require几乎是它的严格超集。您在https://httpd.apache.org/docs/2.4/expr.html上有关于如何测试的详细信息,以及https://httpd.apache.org/docs/2.4/mod/mod_ssl 的开头。 html显示您可以测试的所有可能的“SSL”变量,例如:

SSL_CLIENT_M_SERIAL     string  The serial of the client certificate
SSL_CLIENT_S_DN     string  Subject DN in client's certificate
SSL_CLIENT_S_DN_x509    string  Component of client's Subject DN
于 2019-01-22T19:03:46.587 回答