É possível permitir somente alguns certificados de cliente no Apache?

Question

É possível permitir somente alguns certificados de cliente no Apache?

#1 resposta do (6 votos)

6

No meu host virtual, tenho algo parecido com isso:

    SSLEngine on
    SSLCertificateKeyFile /etc/apache2/ssl/svn.XXXXX.me.key
    SSLCertificateFile /etc/apache2/ssl/svn.XXXXX.me.crt
    SSLProtocol all
    SSLCipherSuite HIGH:MEDIUM
    SSLVerifyClient require
    SSLCACertificateFile /etc/ssl/certs/ICA-Standart.0

Até agora, posso usar qualquer certificado emitido pela CA "ICA-Standart.0" para efetuar login, mas gostaria de especificar o tipo de lista branca e apenas alguns certificados poderão efetuar login. Isso é possível?
Se sim, que diretriz devo procurar?

Observe também que a CA é uma autoridade de certificação pública.

ssl mod-ssl apache-2.2 certificate ssl-certificate

por Ency 08.04.2013 / 17:17

1 resposta

Tags ssl mod-ssl apache-2.2 certificate ssl-certificate

O fail2ban monitora os arquivos de log rotacionados? Recrie facilmente o estado do servidor [fechado]

score 6 · Accepted Answer

Você precisa usar as diretivas SSL_CLIENT_S_* :


    Require              ssl
    Require              ssl-verify-client
    SSLRequireSSL
    SSLOptions           +FakeBasicAuth +StrictRequire
    SSLRequire           %{SSL_CIPHER_USEKEYSIZE} >= 256
    SSLRequire           %{SSL_CLIENT_S_DN_O} eq "Company, LTD." \
                         and %{SSL_CLIENT_S_DN_OU} eq "Development" \
                         and %{SSL_CLIENT_S_DN_CN} in {"John Doe", "Jane Doe", "Other One"}
    SSLRenegBufferSize   131072

Outras referências podem ser encontradas na documentação do Apache .