sslug-teknik team mailing list archive

[carsten@xxxxxxxxxxxx (Carsten Jantzen)]

Jon Bendtsen skrev:

> On 20/01/2009, at 19.05, Carsten Jantzen wrote:

> > Hej
> > Jeg bikser lidt med noget certifikat Klient validering på en sub url  
> > go kan ikke rigtigt få det til at virke.
> >
> > Problemet opstår når jeg skal bede om et client certifikat.
> > Jeg vil kun bede om det en gang på en url ala: https://domæne/ 
> > clientVal
> > Jeg har lavet 2 virtual host definitioner, en på port 443 og en på  
> > port 4430 med klientvalidering.
> > Det er vigtigt at modtager ikke kommer over på port 4430, men bliver  
> > på port 443.
> > Jeg har prøvet med mod_proxy samt mod_rewrite men når jeg rammer  
> > url'en beder den ikke om klient certifikater og jeg får vist  
> > indholdet.
> > Hvis jeg derimod går direkte på den virtual host konfiguration med  
> > klient validering skal jeg give det som jeg forventer. Dette er ikke  
> > noget andre skal kunne.

> Hvorfor ikke bare lave en / på :443 som ikke kræver client validering,  
> men alt derunder gør?
> Hvorfor ikke bare bruge client validering, det er jo nemt.
Ja, men jeg bruger data fra certifikatet til at validere brugeren. Det 
gøres i en webservice i applikationsserveren bagved.
Der er flere login løsninger derfor ønske jeg ikke at binde / til site, så 
kan man heller ikke se indholdet uden at have et certifikat, hvilket er 
krævet.

> ProxyPass og rewrite engine virker ikke fordi de ikke gør det du tror.
> De folder  :4430 ind under :443. Du skal have fat i noget som omskriver
> i den udgående HTML source så der bliver indsat :4430. Men hvorfor
> dog det besvær.
Der er desuden flere login muligheder og dan-id's(TDC netid) er en af dem. 
Det er den som pt. driller.

> Jeg holdt foresten et foredrag i DKUUG omkring brug af client  
> validering, proxypass til at give externe partnere adgang til et  
> internt intranet.
> Se:
> 	http://video.dkuug.dk/2009-01-06-https/
Jeg så godt at foredraget var der, men kunne desværre ikke komme.

> JonB