use*_*966 9 apache client certificate
我想配置Apache以便它接收客户端证书,并将其传递给另一台服务器.我正在使用:
我试过这个配置:
<VirtualHost *:443>
ServerName apacheserver.domain.com
SSLEngine on
SSLProxyEngine on
SSLCertificateFile "e:/Apache/Apache2/conf/server.cer"
SSLCertificateKeyFile "e:/Apache/Apache2/conf/server.key"
SSLCACertificateFile "e:/Apache/Apache2/conf/certca.cer"
SSLVerifyClient require
SSLVerifyDepth 2
ProxyPreserveHost on
ProxyRequests off
<Proxy *>
AddDefaultCharset Off
Order deny,allow
Allow from all
</Proxy>
# initialize the special headers to a blank value to avoid http header forgeries
RequestHeader set SSL_CLIENT_S_DN ""
RequestHeader set SSL_CLIENT_I_DN ""
RequestHeader set SSL_SERVER_S_DN_OU ""
RequestHeader set SSL_CLIENT_VERIFY ""
<Directory />
# add all the SSL_* you need in the internal web application
RequestHeader set SSL_CLIENT_S_DN "%{SSL_CLIENT_S_DN}e"
RequestHeader set SSL_CLIENT_I_DN "%{SSL_CLIENT_I_DN}e"
RequestHeader set SSL_SERVER_S_DN_OU "%{SSL_SERVER_S_DN_OU}e"
RequestHeader set SSL_CLIENT_VERIFY "%{SSL_CLIENT_VERIFY}e"
ProxyPass https://192.168.10.191/
ProxyPassReverse https://192.168.10.191/
</Directory>
</VirtualHost>
当我尝试这个配置时,我在apache的error.log文件中有这个错误:
[Tue Dec 31 12:14:52 2013] [warn] Proxy client certificate callback: (apacheserver.domain.com:443) downstream server wanted client certificate but none are configured
有任何想法吗?
Ste*_*ich 12
客户端证书用于SSL连接以验证用户的身份.验证通过公钥加密完成,例如客户端用其私钥签名,并且可以用公钥验证签名.并且因为私钥仅为客户所知,而且每个人都知道公钥(它包含在证书中),所以只有客户才能签名,但每个人都可以验证签名,因此证明签名文本来自客户端.
如果您使用apache作为请求客户端证书的代理,它将收到包含客户端公钥的证书,并且它将能够验证客户端的签名.但是它无法访问客户端私钥,因此无法使用客户端原始证书创建另一个https连接.它所能做的就是验证客户端证书,然后将重要信息作为HTTP头转发到上游服务器.
看起来您尝试将客户端证书中的信息放入HTTP标头中,但您的上游服务器需要更多,例如它需要您无法提供的客户端证书(错误消息:"..downstream server want client certificate ..." ).因此,您需要更改上游服务器,以便它接受没有客户端证书的连接,并从您在代理中插入的HTTP-Header中读取授权信息.