我确实使用自签名证书创建了Apache中的SSL VirtualHost。
我认为配置是正确的,但是可以使用" curl -insecure"访问此URL。
在Google搜索,阅读几个教程并尝试多种配置(Diretives sslverifeClient | sslverifeDepth | authtype | authbasicprovider | authuserfile | authuserfile |需要有效的用户)我在使用" curl -insecure" p>我一直在考虑测试mod_security,但我不知道是否正确。
你能给我一些建议吗?
谢谢哈德森
我怀疑您可能需要完善对睡眠的理解。您不能强迫客户验证您的SSL证书。此外,如果您使用的是自签名证书,那么对于没有将证书添加到其CA库中的任何人来说,它将永远不会验证。
您可以通过基于其用户代理字符串的请求来阻止卷曲。但这只是一个标题,可以由客户设置为任何事物(例如"有效"浏览器URL)。如果您真的想控制客户端,一种方法是使用客户端证书,这是您设置的服务器证书的类似物,但在客户端端。在这种情况下,除了(表面上)验证服务器证书的客户端外,服务器还将验证客户端证书,提供非常强大可靠的机制来验证客户端访问。不幸的是,由于难以生成密钥和证书签名请求,并为客户签名证书,客户端HTTP证书并不常见。但是它们非常安全,如果您控制双方,则是一个很好的选择。
中间立场是将身份验证层添加到您的应用中以控制谁可以访问它(然后您将完全拒绝未经验证的请求)
简而言之,这些东西都没有阻止卷曲。他们阻止了无法验证的客户。我建议您不要专注于正在使用的远程浏览器/客户端(这是由您的HTTP客户端酌情决定的)。相反,专注于提供所需的安全身份验证。恕我直言,试图阻止客户端用户代理是傻瓜的差事。这是默默无闻的安全性。任何人都可以设置任何用户代理。