那些遇到过的问题

在 Apache 的不同位置下可能有不同的 SSLCACertificateFiles(客户端 ssl 证书)

Mik*_*maa 5 ssl https openssl apache-2.2

我正在设置 Apache 来进行智能卡身份验证。智能卡登录基于由操作系统驱动程序处理的客户端 SSL 证书。

我目前只有一个智能卡提供商,但将来可能会有几个。我不确定 Apache 2.2. 处理每个位置的客户端认证。我做了一些快速测试,不知何故似乎只有最后一个 SSLCACertificateFile 指令才会有效,这听起来不对。

如下所述,是否可以在 Apache(2.2、2.4)中的每个位置使用不同的 SSLCACertificateFile,或者 SSL 协议是否以某种方式限制了每个 IP 不能拥有多个 SSLCACertificateFile?

下面的示例潜在配置我希望如何在同一服务器上处理多个 SSLCACertificateFile 以允许用户使用不同的智能卡提供登录。

<VirtualHost 127.0.0.1:443>

    # Real men use mod_proxy
    DocumentRoot "/nowhere"

    ServerName local-apache
    ServerAdmin you@example.com

    SSLEngine on
    SSLOptions +StdEnvVars +ExportCertData

    # Server-side HTTPS configuration
    SSLCertificateFile /etc/apache2/certificate-test/server.crt
    SSLCertificateKeyFile /etc/apache2/certificate-test/server.key

    # Normal SSL site traffic does not require verify client
    SSLVerifyClient none
    SSLVerifyDepth 999

    # Provider 1
    <Location /@@smartcard-login>
        SSLVerifyClient require

        SSLCACertificateFile /etc/apache2/certificate-test/ca.crt

        # Apache does not natively pass forward headers
        # created by SSLOptions +StdEnvVars,
        # so we pass them forward to Python using RequestHeader
        # from mod_headers
        RequestHeader set X-Client-DN %{SSL_CLIENT_S_DN}e
        RequestHeader set X-Client-Verify %{SSL_CLIENT_VERIFY}e
    </Location>

    # Provider 2
    <Location /@@smartcard-login-provider-2>
        # For real
        SSLVerifyClient require

        SSLCACertificateFile /etc/apache2/certificate-test/provider2.crt

        # Apache does not natively pass forward headers
        # created by SSLOptions +StdEnvVars,
        # so we pass them forward to Python using RequestHeader
        # from mod_headers
        RequestHeader set X-Client-DN %{SSL_CLIENT_S_DN}e
        RequestHeader set X-Client-Verify %{SSL_CLIENT_VERIFY}e
    </Location>


    # Connect to Plone ZEO client1 running on fg
    ProxyPass             / http://localhost:8080/VirtualHostBase/https/local-apache:443/folder_sits/sitsngta/VirtualHostRoot/
    ProxyPassReverse      / http://localhost:8080/VirtualHostBase/https/local-apache:443/folder_sits/sitsngta/VirtualHostRoot/

</VirtualHost>
Run Code Online (Sandbox Code Playgroud)

小智 5

正如 Vlastimil Zima 所回答的,您确实可以用于SSLRequire此目的(至少如果您想要/需要在两个 CA 之间做出区分)。否则,只需将两个证书合并为一个就足够了(正如柯蒂斯所要求的:是的,您可以将证书组合起来以实现类似的功能)。看到你的例子,仅仅组合就足够了。

您可以使用 来SSLRequire检查发行人(假设 CN 不同),例如:

<Location /locationone>
SSLRequire %{SSL_CLIENT_I_DN_CN} == "THE CN OF THE FIRST ISSUER"
</location>

<Location /locationtwo>
SSLRequire %{SSL_CLIENT_I_DN_CN} == "THE CN OF THE SECOND ISSUER"
</location>
Run Code Online (Sandbox Code Playgroud)

为此,您仍然需要将 2 个 CA 证书合并为一个。

小智 2

指令SSLCACertificateFile具有虚拟主机上下文,因此即使插入到Location. 您需要用于SSLRequire检查客户端是否使用正确的位置证书。

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslrequire

归档时间:

查看次数:

7203 次

最近记录:

11 年,9 月 前
相关归档
为什么我有这么多 apache2 进程? 7
通过 filezilla sftp 拒绝写入权限到 /var/www/html 7
如何指定证书签名请求的密钥大小? 7
Apache2:如何限制对目录的访问,但允许访问其中的一个文件? 5
无法在 .htaccess 文件中设置 php_value 5
如何检查 apache 的 SNI(服务器名称指示)可用性? 4
从旧的 .CSR 获取内容 3
如何在 OS X Lion 中正确使用 Apache2 的默认实例? 2
如何在 apache 中禁用 128 位密码? 2
移动服务器:我可以简单地移动 SSL 证书吗? 1
难疑归档
显示 rsync 的总进度:有可能吗? 308
如何使用 Fail2Ban 正确解禁 IP 257
如何在 OS X 上设置全局 PATH 环境变量? 103
我应该怎么做才能确保 IIS 不会回收我的应用程序? 93
设置了“client_max_body_size”的 Nginx 中的“413 请求实体太大” 91
什么是 debian-sys-maint MySQL 用户(以及更多)? 70
如何修复“发送邮件:授权失败 534 5.7.14” 67
为什么 AWS 不建议使用公共 S3 存储桶? 65
在云服务器上设置无密码`sudo`可以吗? 60
从命令行删除所有分区 52