Apache httpd: Wie Vertrauen spezifischen client-Zertifikate?

Wie kann ich die Konfiguration des Apache-httpd Vertrauen spezifischen client-Zertifikate?

Brauchen wir beschränken den Zugriff auf einen webservice zu einem bestimmten (bekannten) Partners-Server.

Geplant ist die Verwendung einer CA-basierten Lösung für dieses (eine Vertrauenswürdige ZERTIFIZIERUNGSSTELLE, die würden nur Zeichen vertrauenswürdig CSRs, wie wir angenommen haben); aber unsere Firma CA erstellt Zertifikate für externe Unternehmen.

Um die gesicherte Verbindung immer, bis die erforderlichen PKI ist bereit, wir wollten Sie bestimmte client-Zertifikate als vertrauenswürdig an unserem Apache-httpd-proxy.

Aber httpd nicht akzeptiert, verbindungen von clients, die versuchen, eine Verbindung mit dem client-Zertifikat, das Hinzugefügt wurde, um die CACertificateFile (verkettet, x509-Zertifikate, codiert in Base64-und DER-format(PEM)), konfiguriert für den virtuellen host.

Des client-Zertifikats ist in diesem Fall nicht ein selbst-signiertes Zertifikat.

InformationsquelleAutor Binary42 | 2012-11-14
  1. 4

    Konfigurieren Sie die CA-Zertifikate, die Sie Vertrauen über SSLCACertificateFile oder SSLCACertificatePath und verwenden SSLVerifyClient (optional oder required, nicht optional_no_ca, die nicht durchführen jegliche Authentifizierung), um die server-Anfrage eines client-Zertifikats.

    Wenn Sie SSLVerifyClient direkt in Ihrem VirtualHost Abschnitt, das client-Zertifikat gesendet werden, während der handshake. Wenn du es innerhalb einer Directory/.htaccess, das client-Zertifikat neu ausgehandelt werden.

    Ist es einfacher zu Debuggen, wenn das Zertifikat gesendet wird, wird der handshake, da das client-Zertifikat selbst wird nicht verschlüsselt. Sie sollten in der Lage sein, es zu sehen, durch den Blick auf den Verkehr mit Wireshark (in der Certificate Nachricht, die vom client gesendet). Beim Debuggen, lohnt es sich, zu prüfen, dass ein Certificate Request Nachricht wird vom server gesendet, und sucht auf seiner Zertifizierungsstellen Liste.

    Eine typische Ursache des Problems, wäre ein client, der nicht anerkennt, dass die Liste oder ein client, der sendet nicht seine intermediate-CA-Zertifikate in der Kette, wenn nötig.

    Wenn Sie dann wollen, ermächtigen, bestimmte Zertifikate genauer gesagt, können Sie überprüfen Sie die variable SSL-Variablen (z.B. SSL_CLIENT_S_DN_*) und verwenden Sie es in einem SSLRequire Richtlinie (siehe Beispiel).

    • Hallo Bruno, wir wollen zu ermächtigen, bestimmte Zertifikat genauer zu. beim überprüfen der SSL-Variablen, ist es sowieso um zu überprüfen, Zertifikat-Fingerabdruck/fingerprint?, in unserem Fall ist dies die einzige information, die wir verwenden können, zu genehmigen. Aber ich fand, dass es keine solche variable.
    • Oder, gibt es variable zu bekommen-Zertifikat für den öffentlichen Schlüssel? Ich habe es nicht finden entweder.
    • Wie setzen Sie client-Zertifikat (kommt per SSL-handshake ) in ein Verzeichnis wie .htaccess?
    InformationsquelleAutor Bruno
Schreibe einen Kommentar