[英]Apache - Client Certificates
客戶端認證過程的目的僅僅是為了證明您在SSLCACertificateFile中(在conf文件中)擁有的CA已經為客戶端擔保了嗎? 如果CA是眾所周知的CA,那么擁有該CA簽名的公共證書的任何人都可以作為有效客戶端通過? 對於整個客戶端身份驗證問題有些困惑。
對,但是:
FakeBasicAuth
案例可以提供幫助 文檔中給出的示例:
SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \
and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
and %{TIME_WDAY} -ge 1 and %{TIME_WDAY} -le 5 \
and %{TIME_HOUR} -ge 8 and %{TIME_HOUR} -le 20 ) \
or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
請注意,現在不建議使用SSLRequire
而使用Require
幾乎是它的嚴格超集。 您可以在https://httpd.apache.org/docs/2.4/expr.html上找到有關如何測試的詳細信息以及https://httpd.apache.org/docs/2.4/mod/mod_ssl的開頭。 html顯示可以測試的所有可能的“ SSL”變量,例如:
SSL_CLIENT_M_SERIAL string The serial of the client certificate
SSL_CLIENT_S_DN string Subject DN in client's certificate
SSL_CLIENT_S_DN_x509 string Component of client's Subject DN
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.