NGINX 為 auth-tls-verify-client = optional_no_ca 完成了哪些客戶端證書身份驗證驗證
[英]Which client certificate auth validations are done by NGINX for auth-tls-verify-client = optional_no_ca
問題描述
我們有一個利用 NGINX 的 K8S 服務,並且在某些流程中希望接受客戶端證書身份驗證。
服務具有公共可信客戶端證書(PEM 格式)的動態列表,並且根 CA 是未知的。
在 NGINX 中,似乎最好的設置是:
nginx.ingress.kubernetes.io/auth-tls-verify-client: optional_no_ca
同時將完整證書 ($ssl_client_escaped_cert) 發送到上游服務以比較整個公共證書。
問題是 NGINX 是否仍將在 SSL 握手期間執行客戶端證書驗證(並且僅跳過 CA 檢查),以驗證請求確實是由證書及其私鑰的唯一所有者發送的。
1 個解決方案
解決方案1
0 2022-01-26 00:12:36
它仍然會在 TLS 握手中檢查證書中的公鑰可用於驗證 CertificateVerify 中的簽名,即客戶端實際上擁有發送證書的私鑰。
它不會檢查證書本身是否由受信任的 CA 等頒發 - 預計此類驗證將在其他地方進行。
Apache 2 僅使用“SSLClientVerify optional_no_ca”進行雙向 TLS 身份驗證
[英]Apache 2 Mutual TLS Authentication Only Working with “SSLClientVerify optional_no_ca”
Nginx 配置:如果未提供 ssl_client_certificate,如何使用 auth_basic 身份驗證?
[英]Nginx config: how to use auth_basic authentication if ssl_client_certificate none provided?
針對X.509客戶端身份驗證的Apache + mod_ssl中間CA自動發現
[英]Apache + mod_ssl intermediate CA auto discovery for X.509 client auth
在沒有BouncyCastle的情況下以編程方式為SSL Client-Auth創建客戶端證書的方法?
[英]Any way of creating an Client Certificate programmatically for SSL Client-Auth without BouncyCastle?
如何強制 Android 11 上的 OkHttp 使用 TLS 1.3 發送 ssl 客戶端證書身份驗證
[英]how to force OkHttp on Android 11 to send ssl client cert auth with TLS 1.3
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
HttpClient未使用客戶端證書進行Mutual TLS身份驗證
Apache 2 僅使用“SSLClientVerify optional_no_ca”進行雙向 TLS 身份驗證
Nginx 配置:如果未提供 ssl_client_certificate,如何使用 auth_basic 身份驗證?
Nginx客戶端證書授權
針對X.509客戶端身份驗證的Apache + mod_ssl中間CA自動發現
在沒有BouncyCastle的情況下以編程方式為SSL Client-Auth創建客戶端證書的方法?
Java中的SSL密鑰和客戶端身份驗證
在客戶端存儲身份驗證數據
redisai 客戶端密碼/認證過程
如何強制 Android 11 上的 OkHttp 使用 TLS 1.3 發送 ssl 客戶端證書身份驗證
相關標簽