在CentOS平台上使用OpenSSL和Apache Web Server进行相互authenticationauthentication后。 我试过这种情况(见下图):
---------- | Root CA | // Self-Signed Certificate ---------- | | ---------- ---------- | SiteA CA | | SiteB CA | //Two Different Intermediate CAs ---------- ---------- | | | | ------- ------- ------- ------- | Server1 | | Client1 | | Server2 | | Client2 | ------- ------- ------- -------
所以我有不同的网站与不同的域名,例如:
www.siteA.com www.siteB.com
将rootca.crt放在浏览器中,并在siteA CA签名的client1.crt后,出现了一个大问题! 证书由SiteCA1签名的Client1可以进入两个站点A和B! 这完全错了。
我怎么能这样做?
我在SEC.SE上发布了一个问题的答案 ,详细描述了如何实现SSL相互authentication。
简而言之,如果您创build客户端证书时,您可以做得更好,因为您必须记住,您的服务器必须有一种方法来区分客户端,以便能够根据以前的前提限制对网站的访问。
根据您的目的select存储在客户端证书的x509结构中的适当信息。 看看Apache的在线文档 。