sslug-teknik team mailing list archive

[Jon Bendtsen <bendtsen@xxxxxxx>]

On 20/01/2009, at 22.52, Carsten Jantzen wrote:

> Jon Bendtsen skrev:
>
> > On 20/01/2009, at 19.05, Carsten Jantzen wrote:
>
> > > Hej
> > > Jeg bikser lidt med noget certifikat Klient validering på en sub  
> > > url  go kan ikke rigtigt få det til at virke.
> > >
> > > Problemet opstår når jeg skal bede om et client certifikat.
> > > Jeg vil kun bede om det en gang på en url ala: https://domæne/  
> > > clientVal
> > > Jeg har lavet 2 virtual host definitioner, en på port 443 og en  
> > > på  port 4430 med klientvalidering.
> > > Det er vigtigt at modtager ikke kommer over på port 4430, men  
> > > bliver  på port 443.
> > > Jeg har prøvet med mod_proxy samt mod_rewrite men når jeg rammer   
> > > url'en beder den ikke om klient certifikater og jeg får vist   
> > > indholdet.
> > > Hvis jeg derimod går direkte på den virtual host konfiguration  
> > > med  klient validering skal jeg give det som jeg forventer. Dette  
> > > er ikke  noget andre skal kunne.
>
> > Hvorfor ikke bare lave en / på :443 som ikke kræver client  
> > validering,  men alt derunder gør?
> > Hvorfor ikke bare bruge client validering, det er jo nemt.
> Ja, men jeg bruger data fra certifikatet til at validere brugeren.  
> Det gøres i en webservice i applikationsserveren bagved.
> Der er flere login løsninger derfor ønske jeg ikke at binde / til  
> site, så kan man heller ikke se indholdet uden at have et  
> certifikat, hvilket er krævet.

så bind /a/ til klient certifikat og /b/ til andet login.


> > ProxyPass og rewrite engine virker ikke fordi de ikke gør det du  
> > tror.
> > De folder  :4430 ind under :443. Du skal have fat i noget som  
> > omskriver
> > i den udgående HTML source så der bliver indsat :4430. Men hvorfor
> > dog det besvær.
> Der er desuden flere login muligheder og dan-id's(TDC netid) er en  
> af dem. Det er den som pt. driller.

Du kan godt have mere end en CA som du validere et klient certifikat  
med. Evt. /c/ til nogle certifikater og /d/ til danid's.


> > Jeg holdt foresten et foredrag i DKUUG omkring brug af client   
> > validering, proxypass til at give externe partnere adgang til et   
> > internt intranet.
> > Se:
> > 	http://video.dkuug.dk/2009-01-06-https/
> Jeg så godt at foredraget var der, men kunne desværre ikke komme.

ok.

Der var en eller anden på det foredrag som fortalte om en alternativ  
løsning, så vidt
jeg husker hed den mod substitute, måske det kan lave om i udgående  
HTML?


JonB