Ping uma porta específica

Question

Afshin

Asked: 2025-02-24 04:54:32 +0800 CST2025-02-24 04:54:32 +0800 CST 2025-02-24 04:54:32 +0800 CST

É possível fazer fallback da autenticação de certificado de cliente no nginx?

772

Estou tentando criar um cenário de fallback para o servidor nginx https. Quero dar suporte para TLS bidirecional com certificado de cliente e TLS unidirecional com método de autenticação (por exemplo, autenticação básica). O que quero alcançar é que, se não conseguisse estabelecer um TLS bidirecional com um certificado de cliente, fallback para um TLS unidirecional com método de autenticação adicional.

Alguma ideia de como posso fazer isso? Sou meio novo na configuração do nginx, então qualquer ajuda será ótima.

1 respostas

Voted

Ivan Shatsky · Answer 1 · 2025-02-24T18:20:29+08:00

Best Answer

Ivan Shatsky

2025-02-24T18:20:29+08:002025-02-24T18:20:29+08:00

Você precisa definir a ssl_verify_clientdiretiva como optional. Depois disso, a $ssl_client_verifyvariável terá um valor de SUCCESSse a verificação do certificado do cliente for bem-sucedida; caso contrário, terá um valor de FAILED: reasonou NONE(veja o link da documentação fornecida).

Você pode opcionalmente ativar a autenticação básica se o $ssl_client_verifyvalor da variável não for igual ao SUCCESSuso do mapbloco da seguinte maneira:

map $ssl_client_verify $auth_realm {
    SUCCESS  off;
    default  "Protected area";
}
server {
    ...
    ssl_client_certificate /path/to/client/CA;
    ssl_verify_client      optional;
    auth_basic             $auth_realm;
    auth_basic_user_file   /path/to/passwords/file;
    ...

2

É possível fazer fallback da autenticação de certificado de cliente no nginx?

Você pode passar usuário/passar para autenticação básica HTTP em parâmetros de URL?