Apache-客戶端證書

Question

客戶端認證過程的目的僅僅是為了證明您在SSLCACertificateFile中（在conf文件中）擁有的CA已經為客戶端擔保了嗎？ 如果CA是眾所周知的CA，那么擁有該CA簽名的公共證書的任何人都可以作為有效客戶端通過？ 對於整個客戶端身份驗證問題有些困惑。

Answer 1

對，但是：

1. 例如，在私有設置中，您也可以使用私有內部CA，因此您可以控制誰獲得證書。
2. 查看SSLOptions指令 ，在某些情況下FakeBasicAuth案例可以提供幫助
3. 更一般地說，您具有SSLRequire指令 ，您可以在其中基於所提供證書的任何組件（例如其CN）來限制訪問。

文檔中給出的示例：

SSLRequire (    %{SSL_CIPHER} !~ m/^(EXP|NULL)-/                   \
            and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd."          \
            and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}    \
            and %{TIME_WDAY} -ge 1 and %{TIME_WDAY} -le 5          \
            and %{TIME_HOUR} -ge 8 and %{TIME_HOUR} -le 20       ) \
           or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/

請注意，現在不建議使用SSLRequire而使用Require幾乎是它的嚴格超集。 您可以在https://httpd.apache.org/docs/2.4/expr.html上找到有關如何測試的詳細信息以及https://httpd.apache.org/docs/2.4/mod/mod_ssl的開頭。 html顯示可以測試的所有可能的“ SSL”變量，例如：

SSL_CLIENT_M_SERIAL     string  The serial of the client certificate
SSL_CLIENT_S_DN     string  Subject DN in client's certificate
SSL_CLIENT_S_DN_x509    string  Component of client's Subject DN