Wie kann ich den Apache-httpd konfigurieren, um bestimmten Client-Zertifikaten zu vertrauen?Apache httpd: Wie kann man bestimmten Client-Zertifikaten vertrauen?
Wir müssen den Zugriff auf einen Webservice auf bestimmte Server eines bestimmten Partners beschränken.
Wir planten, eine CA-basierte Lösung dafür zu verwenden (eine vertrauenswürdige CA, die nur vertrauenswürdige CSRs signierte, als wir sie akzeptierten); Die Zertifizierungsstelle unseres Unternehmens erstellt jedoch keine Zertifikate für externe Unternehmen.
Um die gesicherte Verbindung trotzdem herzustellen, wollten wir bestimmte Clientzertifikate auf unserem Apache-httpd-Proxy konfigurieren, bis die erforderliche PKI bereit ist.
Aber httpd akzeptiert keine Verbindungen durch die Clients, die versuchen, eine Verbindung herzustellen, indem das Clientzertifikat verwendet wird, das für die CACertificateFile (verkettete x509-Zertifikate in Base64 und im DER-Format (PEM)) konfiguriert wurde der virtuelle Host.
Das Client-Zertifikat ist in diesem Fall kein selbstsigniertes Zertifikat.
Hallo Bruno, wir wollen bestimmte Zertifikate auch genauer autorisieren. Wenn Sie SSL-Variablen überprüfen, ist es trotzdem möglich, den Fingerabdruck/Fingerabdruck des Zertifikats zu überprüfen? In unserem Fall ist dies die einzige Information, die wir zur Autorisierung verwenden können. Aber ich habe festgestellt, dass es keine solche Variable gibt. – Xilang
Oder gibt es eine Variable, um den öffentlichen Schlüssel des Zertifikats zu erhalten? Ich habe es auch nicht gefunden. – Xilang
Wie setzen Sie das Client-Zertifikat (das über einen SSL-Handshake kommt) in ein Verzeichnis wie '.htaccess'? – Promod