服务器 Gind.cn
  1. 服务器 Gind.cn
  3. SSL_CLIENT_CERT_CHAIN不被传递给后端服务器
Intereting Posts
安装APC的服务器上有一点ram 小型64位Linux服务器发行版低内存占用? 存储arrays监控 更新OpenShift环境variables后,无法重新启动Laravel应用程序 Google应用引擎SSL并映射到example.com/api Exchange 2007发布iCalendar 为什么Windows 2012 R2不相信我的自签名证书? Linux Speedtest(或下载)能够达到10Gbps 代理软件来中继电子邮件 ESXi和链路聚合到另一个系统 如何find我连接的交换机的MAC地址? RAIDing逻辑分区 使用Thunderbird + Postfix + Zarafa发送电子邮件不起作用 WSUS – 解释为什么某些基于WSUS的更新失败,但在使用Microsofts更新时没有失败 使用Exchange WebDAV / Outlook Web Access进行身份validation

SSL_CLIENT_CERT_CHAIN不被传递给后端服务器

我configuration了客户端证书并在Apache中工作。 我想将客户端的PEM编码的X.509证书传递给后端服务器。

我尝试了SSLOptions + ExportCertData。 这样做什么都不做,而文档声明它应该添加SSL_SERVER_CERT,SSL_CLIENT_CERT和SSL_CLIENT_CERT_CHAINn(n = 0,1,2,…)作为标题。 任何想法,为什么这个选项不工作?

然后我尝试使用RequestHeader自己设置标题。 这适用于除SSL_CLIENT_CERT_CHAIN之外的所有variables。 它在标题中显示为空。 任何想法为什么证书链没有被填充?

这是我的第一个Apacheconfiguration: 

<VirtualHost 192.168.56.100:443> ServerName www.test.org ServerAdmin webmaster@localhost DocumentRoot /var/www ErrorLog ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined SSLEngine on SSLProxyEngine on SSLCertificateFile /etc/apache2/ssl/certs/www.test.org.crt SSLCertificateKeyFile /etc/apache2/ssl/private/www.test.org.key SSLCACertificateFile /etc/apache2/ssl/ca/ca.crt <Proxy *> AddDefaultCharset Off Order deny,allow Allow from all </Proxy> <Location /carbon> ProxyPass http://www.test.org:9763/carbon ProxyPassReverse http://www.test.org:9763/carbon </Location> <Location /services/GbTestProxy> SSLVerifyClient require SSLVerifyDepth 5 SSLOptions +ExportCertData ProxyPass http://www.test.org:8888/services/GbTestProxy ProxyPassReverse http://www.test.org:8888/services/GbTestProxy </Location> </VirtualHost>

这是我的第二个Apacheconfiguration: 

 <VirtualHost 192.168.56.100:443> ServerName www.test.org ServerAdmin webmaster@localhost DocumentRoot /var/www ErrorLog ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined SSLEngine on SSLProxyEngine on SSLCertificateFile /etc/apache2/ssl/certs/www.test.org.crt SSLCertificateKeyFile /etc/apache2/ssl/private/www.test.org.key SSLCACertificateFile /etc/apache2/ssl/ca/ca.crt <Proxy *> AddDefaultCharset Off Order deny,allow Allow from all </Proxy> <Location /carbon> ProxyPass http://www.test.org:9763/carbon ProxyPassReverse http://www.test.org:9763/carbon </Location> <Location /services/GbTestProxy> SSLVerifyClient require SSLVerifyDepth 5 SSLOptions +ExportCertData RequestHeader set SSL_CLIENT_S_DN "%{SSL_CLIENT_S_DN}s" RequestHeader set SSL_CLIENT_I_DN "%{SSL_CLIENT_I_DN}s" RequestHeader set SSL_CLIENT_S_DN_CN "%{SSL_SERVER_S_DN_CN}s" RequestHeader set SSL_SERVER_S_DN_OU "%{SSL_SERVER_S_DN_OU}s" RequestHeader set SSL_CLIENT_CERT "%{SSL_CLIENT_CERT}s" RequestHeader set SSL_CLIENT_CERT_CHAIN_0 "%{SSL_CLIENT_CERT_CHAIN_0}s" RequestHeader set SSL_CLIENT_CERT_CHAIN_1 "%{SSL_CLIENT_CERT_CHAIN_1}s" RequestHeader set SSL_CLIENT_VERIFY "%{SSL_CLIENT_VERIFY}s" ProxyPass http://www.test.org:8888/services/GbTestProxy ProxyPassReverse http://www.test.org:8888/services/GbTestProxy </Location> </VirtualHost>

希望有人能帮忙。

问候,nidkil

这是一个古老的问题,但我会回答,以防别人像我一样绊倒它。

发行者证书实际上是从Apache的链中的位置0,而不是1.要获得您想要的发行者证书: 

 RequestHeader set SSL_CLIENT_CERT_CHAIN_0 "%{{SSL_CLIENT_CERT_CHAIN_0}}s"

SSLOptions +ExportCertData不会将头添加到代理请求中,它会添加环境variables – 您尝试添加到第二个configuration中的头文件中的环境variables(但是它们不在环境中, SSLOptionsconfiguration)。

您将需要RequestHeader setconfiguration以及SSLOptions +ExportCertData