Eu tenho tentado descobrir uma maneira de bloquear nosso site de desenvolvimento ainda mais, e surgiu a ideia de que, em vez de usar a proteção centralizada em IP + Senha, usar algo mais parecido com uma chave PEM, como eu usaria para ssh'ing em um servidor. Estou curioso para saber se isso é viável e como seria configurado. Eu examinei os documentos do Apache AuthType e vi que ele suporta várias coisas além do Basic, como o Digest e o Form, estou curioso para saber se posso usar qualquer um desses, ou possivelmente algo a mais, para ter as portas dos nossos servidores 80 e 443 apenas visíveis na apresentação de um certificado?
O que você está pedindo é possível . No entanto, devido à falta de um comando starttls / stls em http , ele está disponível apenas para https . Chaves ssh não certificadas não funcionarão para este propósito.
Um cliente precisará do certificado (e da chave privada) instalado no navegador.
O servidor precisará incluir as diretivas a seguir, além de outras padrão, para um ouvinte https.
SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile path/to/a/trusted/CA.crt
Se seu site usa SSL, há a opção de usar certificados de cliente para autorizar um usuário.
O método funciona assim:
Você configura o Apache para usar a autenticação de certificado de cliente
Crie uma CA para gerar e assinar as certificações
Gerar e assinar certificações para todos os seus usuários
Configure o diretório para usar a diretiva SSLVerifyClient
Existe um guia muito bom e detalhado aqui .
Tags security ssh-keys apache-2.4