我想配置Apache以便它接收客户端证书,并将其传递给另一台服务器。 我正在使用:
我试过这个配置:
<VirtualHost *:443>
ServerName apacheserver.domain.com
SSLEngine on
SSLProxyEngine on
SSLCertificateFile "e:/Apache/Apache2/conf/server.cer"
SSLCertificateKeyFile "e:/Apache/Apache2/conf/server.key"
SSLCACertificateFile "e:/Apache/Apache2/conf/certca.cer"
SSLVerifyClient require
SSLVerifyDepth 2
ProxyPreserveHost on
ProxyRequests off
<Proxy *>
AddDefaultCharset Off
Order deny,allow
Allow from all
</Proxy>
# initialize the special headers to a blank value to avoid http header forgeries
RequestHeader set SSL_CLIENT_S_DN ""
RequestHeader set SSL_CLIENT_I_DN ""
RequestHeader set SSL_SERVER_S_DN_OU ""
RequestHeader set SSL_CLIENT_VERIFY ""
<Directory />
# add all the SSL_* you need in the internal web application
RequestHeader set SSL_CLIENT_S_DN "%{SSL_CLIENT_S_DN}e"
RequestHeader set SSL_CLIENT_I_DN "%{SSL_CLIENT_I_DN}e"
RequestHeader set SSL_SERVER_S_DN_OU "%{SSL_SERVER_S_DN_OU}e"
RequestHeader set SSL_CLIENT_VERIFY "%{SSL_CLIENT_VERIFY}e"
ProxyPass https://192.168.10.191/
ProxyPassReverse https://192.168.10.191/
</Directory>
</VirtualHost>
当我尝试这个配置时,我在apache的error.log文件中有这个错误:
[Tue Dec 31 12:14:52 2013] [warn] Proxy client certificate callback: (apacheserver.domain.com:443) downstream server wanted client certificate but none are configured
任何想法?
答案 0 :(得分:11)
客户端证书用于SSL连接以验证用户的身份。验证是通过公钥密码术完成的,例如,客户端使用其私钥签名,并且可以使用公钥验证签名。并且因为私钥仅为客户所知,而且每个人都知道公钥(它包含在证书中),所以只有客户才能签名,但每个人都可以验证签名,因此证明签名文本来自客户端。
如果您使用apache作为请求客户端证书的代理,它将收到包含客户端公钥的证书,并且它将能够验证客户端的签名。但是它无法访问客户端私钥,因此无法使用客户端原始证书创建另一个https连接。它所能做的就是验证客户端证书,然后将重要信息作为HTTP头转发到上游服务器。
您似乎尝试将客户端证书中的信息放入HTTP标头中,但您的上游服务器需要更多信息,例如:它需要您无法提供的客户端证书(错误消息:“..downstream server want client certificate ..”)。因此,您需要更改上游服务器,以便它接受没有客户端证书的连接,并从您在代理中插入的HTTP-Header中读取授权信息。
答案 1 :(得分:0)
在http:指令中使用https:代替ProxyPass。 Apache将在标头中传递客户端证书。