中允许的ssl_client_s_dn_cn值
我想根据SSL协商期间发现的客户端证书的值掉落或拒绝连接。我不熟悉语法,找不到类似的示例。
我被 lighttpd v.1.4.45 。
在真实和伪代码的混合物中:
$SERVER["socket"] == ":443" {
ssl.engine = "enable"
...
ssl.ca-file = "..."
...
# client side authentification
ssl.verifyclient.activate = "enable"
ssl.verifyclient.enforce = "enable"
ssl.verifyclient.depth = "2"
# this line instructs client cert CN value to be extracted
ssl.verifyclient.username = "SSL_CLIENT_S_DN_CN"
}
# psuedocode
<client CN> <not regexp-equal> <regexp> {
<reject>
}
可以在 lighttpd 级别上完成吗?假设要使用应用程序代码不是一个选项。
(我也很好奇地看到一个可以在应用程序级别完成的示例,但这不是主要问题。)
使用lighttpd mod_auth。https://redmine.lighttpd.net/projects/lighttpd/wiki/docs_modauth
server.modules += ("mod_auth")
auth.require = ( "" =>
(
"method" => "extern",
"realm" => "certificate",
"require" => "user=agent007|user=agent008"
)
)
您必须列出 user=...|user=...