nginx ssl
Alexander Sidukov
alexander.sidukov at gmail.com
Sat May 30 21:01:58 MSD 2009
Спасибо за совет -- все оказалось проще, но от разработки модуля я в данный
момент уже не могу отказаться, буду реализовывать проверку в модуле и
добавлять какой-то дополнительный функционал - поддержку отменённых
сертификатов (revocation lists), к примеру.
Подкажите, пожалуйста, как реализовать проверку сертификата в модуле.
2009/5/30 Sergey Shepelev <temotor at gmail.com>
> ssl_client_verifty on;
>
> # клиентам с Common Name=test-client-1 в сертификате запрещаем доступ
> к урлам /dir
> location /dir {
> if ($ssl_client_s_dn ~ "/CN=test-client-1/") { return 403; }
> }
>
> # клиентам с Common Name=client-2 в сертификате редиректим /lemus на /dir
> location /lemus {
> if ($ssl_client_s_dn ~ "/CN=client-2/") { rewrite ^ /dir/; }
> }
>
> 2009/5/30 Alexander Sidukov <alexander.sidukov at gmail.com>:
> > Я пишу дипломную работу, в её рамках необходимо разработать модуль,
> который
> > может авторизовать пользователей используя клиентские SSL сертификаты, и
> > накладывать соответствующие ограничения на доступность директорий (к
> > примеру), в зависимости от параметров клиентского сертификата (скажем, от
> > Common Name).
> >
> > Могли бы вы посоветовать как я могу реализовать и обеспечить вызов
> функции
> > (verify_callback), используемой для проверки сертификата в
> > SSL_CTX_set_verify() в своем модуле?
> >
> > Пока есть две идеи: Первая, более <<правильная>> -- <<достучаться>> из модуля
> до
> > ssl контекста соединения и вызывать для него SSL_CTX_set_verify с
> функцией в
> > модуле, вторая -- менять сам код модуля ngx_http_ssl_module.
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20090530/96451045/attachment.html>
More information about the nginx-ru
mailing list