那些遇到过的问题

NGINX 中的条件 ssl_verify_client

mak*_*sek 5 ssl nginx ssl-certificate

我只需要为来自我们 Intranet 外部的请求启用客户端证书验证,而不需要验证来自例如 192.168.0.0/24 的请求。我尝试使用geo模块为内部子网定义变量。在http上下文中:

geo $intranet { 
  default 0; 
  192.168.0.0/24 1; 
}
Run Code Online (Sandbox Code Playgroud)

server上下文中

if ($intranet != 1) { 
  ssl_verify_client on; 
}
Run Code Online (Sandbox Code Playgroud)

但不可能ssl_verify_clientif语句内使用指令。我收到一个错误:

此处不允许使用“ssl_verify_client”指令

有没有其他方法可以做到这一点?

mak*_*sek 1

最后我找到了按预期工作的解决方案。

http上下文中:

geo $intranet { 
  default 0; 
  192.168.0.0/23 1; 
}
Run Code Online (Sandbox Code Playgroud)

server上下文中:

ssl_verify_client optional;

set $verify $intranet$ssl_client_verify;

if ($verify ~ (0NONE|0FAILED)) {
  return 403;
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1563 次

最近记录:

8 年 前
相关归档
nginx 工作进程数 23
Nginx + php-fpm - 运行时每个 php-fpm 进程 70-100% cpu 9
带有 LetsEncrypt 证书的 RabbitMQ 9
当 CSR 用于 SHA-1 时,我可以获得 SHA-256 证书吗? 8
nginx,分离机器人访问日志和人工访问日志 7
将 websocket 流量从 nginx 1.3.13 代理到 socket.io(无 SSL) 6
Nginx:在不重建 nginx 的情况下去除 html 中的空格和注释 3
nginx 代理给出 404 未找到 3
将 Wheezy 升级到 Jessie apache 2 后 SSL 停止工作 1
$request_uri 部分的 limit_req 不同 1
难疑归档
如何处理受感染的服务器? 623
如何在 Bash 中以毫秒为单位获取当前的 Unix 时间? 314
.profile .bash_profile 和 .bashrc 之间的功能区别是什么 285
证书颁发机构根证书到期和续订 124
优雅地重启 CentOS 的最佳方式? 101
处理 HTTP w00tw00t 攻击 82
有没有办法像“scp”做远程复制一样做一个远程“ls”? 78
ZFS 与 XFS 68
系统管理员工作初学者应该知道/学习什么? 67
vm.overcommit_memory 如何工作? 61