服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 可能在Apache的不同位置下有不同的SSLCACertificateFiles(客户端SSL证书)
Intereting Posts
为什么sendmail接受不在local-host-names文件中的主机名的邮件? 脚本本地安全策略设置 NETLOGON EventID 5723托pipe服务帐户 思科3550内部队列统计在IOS 12.1下? Docker jenkins图像SSH密钥GitHub 高速cachingconfiguration仍然有一些图像磁铁上有不同的caching时间 内存使用问题 通过Subversion部署网站内容 如何将输出从mytop写入文件 白色屏幕,没有错误 MRTG带宽不准确 docsIfCmStatusDocsisOperMode在DOCSIS 3.0中已弃用 Exchange和AD的用户configuration脚本? 重新启动VMware vSphere ESXi上的失败主机 在XP 64位上运行VMWare不允许使用64位来宾操作系统

可能在Apache的不同位置下有不同的SSLCACertificateFiles(客户端SSL证书)

我正在设置Apache来进行智能卡身份validation。 智能卡login基于由OS驱动程序处理的客户端SSL证书。

我目前只有一个智能卡提供商,但将来有可能有几个。 我不确定Apache 2.2如何。 处理每个位置的客户端authentication。 我做了一些快速testing,似乎只有最后一个SSLCACertificateFile指令是有效的,这听起来不对。

如下所述是否可以在Apache(2.2,2.4)的每个位置具有不同的SSLCACertificateFile,或者SSL协议在某种程度上限制了每个IP不能有多个SSLCACertificateFile?

示例潜在configuration如何在同一台服务器上处理多个SSLCACertificateFile以允许用户使用不同的智能卡提供的login。 

<VirtualHost 127.0.0.1:443> # Real men use mod_proxy DocumentRoot "/nowhere" ServerName local-apache ServerAdmin [email protected] SSLEngine on SSLOptions +StdEnvVars +ExportCertData # Server-side HTTPS configuration SSLCertificateFile /etc/apache2/certificate-test/server.crt SSLCertificateKeyFile /etc/apache2/certificate-test/server.key # Normal SSL site traffic does not require verify client SSLVerifyClient none SSLVerifyDepth 999 # Provider 1 <Location /@@smartcard-login> SSLVerifyClient require SSLCACertificateFile /etc/apache2/certificate-test/ca.crt # Apache does not natively pass forward headers # created by SSLOptions +StdEnvVars, # so we pass them forward to Python using RequestHeader # from mod_headers RequestHeader set X-Client-DN %{SSL_CLIENT_S_DN}e RequestHeader set X-Client-Verify %{SSL_CLIENT_VERIFY}e </Location> # Provider 2 <Location /@@smartcard-login-provider-2> # For real SSLVerifyClient require SSLCACertificateFile /etc/apache2/certificate-test/provider2.crt # Apache does not natively pass forward headers # created by SSLOptions +StdEnvVars, # so we pass them forward to Python using RequestHeader # from mod_headers RequestHeader set X-Client-DN %{SSL_CLIENT_S_DN}e RequestHeader set X-Client-Verify %{SSL_CLIENT_VERIFY}e </Location> # Connect to Plone ZEO client1 running on fg ProxyPass / http://localhost:8080/VirtualHostBase/https/local-apache:443/folder_sits/sitsngta/VirtualHostRoot/ ProxyPassReverse / http://localhost:8080/VirtualHostBase/https/local-apache:443/folder_sits/sitsngta/VirtualHostRoot/ </VirtualHost>

正如Vlastimil Zima所回答的那样,您确实可以使用SSLRequire (至less如果您希望/需要在两个CA之间做出区分)。 否则,只要将两个证书合并成一个证书就足够了(就像柯蒂斯所说的那样:是的,你可以合并证书来完成类似的工作)。 看到你的榜样,只是组合就够了。

有了SSLRequire你可以检查发行者(假设CN是不同的),例如: 

 <Location /locationone> SSLRequire %{SSL_CLIENT_I_DN_CN} == "THE CN OF THE FIRST ISSUER" </location> <Location /locationtwo> SSLRequire %{SSL_CLIENT_I_DN_CN} == "THE CN OF THE SECOND ISSUER" </location>

而为了这个工作,你仍然需要将2个CA证书合并成一个。

指令SSLCACertificateFile具有虚拟主机上下文,所以即使在插入到Location时也会影响整个虚拟主机。 您需要使用SSLRequire来检查客户端是否使用正确的证书进行定位。

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslrequire