lighttpd-根据在SSL协商期间发现的客户端证书CN的值拒绝连接。 (ssl.verifyclient)

时间:2019-02-24 21:19:24

标签: authentication ssl-certificate client-server lighttpd

我想基于ssl协商期间发现的客户端证书CN的值来删除或拒绝连接。 我不熟悉语法,找不到相似的示例。

我对 lighttpd v.1.4.45 感到困惑。

混合使用真实代码和伪代码:

$SERVER["socket"] == ":443" {
  ssl.engine = "enable"
  ...
  ssl.ca-file =  "..."
  ...
  # client side authentification       
  ssl.verifyclient.activate = "enable"
  ssl.verifyclient.enforce = "enable"
  ssl.verifyclient.depth = "2"
  # this line instructs client cert CN value to be extracted
  ssl.verifyclient.username = "SSL_CLIENT_S_DN_CN"  
}
# psuedocode
<client CN> <not regexp-equal> <regexp> {
  <reject>
}

可以在 lighttpd 级别完成吗?假设无法选择应用程序代码。

(我也很好奇如何在应用程序级别完成此操作的示例,但这不是主要问题。)

1 个答案:

答案 0 :(得分:1)

使用lighttpd mod_auth。 https://redmine.lighttpd.net/projects/lighttpd/wiki/Docs_ModAuth 

server.modules += ("mod_auth")
auth.require = ( "" =>
                 (
                   "method"  => "extern",
                   "realm"   => "certificate",
                   "require" => "user=agent007|user=agent008" 
                 )
               )

您必须在user=...|user=...中列出允许的SSL_CLIENT_S_DN_CN值

相关问题
最新问题