sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #97358
Re: SSL client validering
Jon Bendtsen skrev:
On 20/01/2009, at 19.05, Carsten Jantzen wrote:
Hej
Jeg bikser lidt med noget certifikat Klient validering på en sub url
go kan ikke rigtigt få det til at virke.
Problemet opstår når jeg skal bede om et client certifikat.
Jeg vil kun bede om det en gang på en url ala: https://domæne/
clientVal
Jeg har lavet 2 virtual host definitioner, en på port 443 og en på
port 4430 med klientvalidering.
Det er vigtigt at modtager ikke kommer over på port 4430, men bliver
på port 443.
Jeg har prøvet med mod_proxy samt mod_rewrite men når jeg rammer
url'en beder den ikke om klient certifikater og jeg får vist
indholdet.
Hvis jeg derimod går direkte på den virtual host konfiguration med
klient validering skal jeg give det som jeg forventer. Dette er ikke
noget andre skal kunne.
Hvorfor ikke bare lave en / på :443 som ikke kræver client validering,
men alt derunder gør?
Hvorfor ikke bare bruge client validering, det er jo nemt.
Ja, men jeg bruger data fra certifikatet til at validere brugeren. Det
gøres i en webservice i applikationsserveren bagved.
Der er flere login løsninger derfor ønske jeg ikke at binde / til site, så
kan man heller ikke se indholdet uden at have et certifikat, hvilket er
krævet.
ProxyPass og rewrite engine virker ikke fordi de ikke gør det du tror.
De folder :4430 ind under :443. Du skal have fat i noget som omskriver
i den udgående HTML source så der bliver indsat :4430. Men hvorfor
dog det besvær.
Der er desuden flere login muligheder og dan-id's(TDC netid) er en af dem.
Det er den som pt. driller.
Jeg holdt foresten et foredrag i DKUUG omkring brug af client
validering, proxypass til at give externe partnere adgang til et
internt intranet.
Se:
http://video.dkuug.dk/2009-01-06-https/
Jeg så godt at foredraget var der, men kunne desværre ikke komme.
JonB
Follow ups
References