在 Apache、LightTPD 和 Nginx Web 服务器上提供 PHP 5.x 应用程序的现状？

Question

poppopretn

Asked: 2020-12-02 18:20:08 +0800 CST2020-12-02 18:20:08 +0800 CST 2020-12-02 18:20:08 +0800 CST

Lighttpd 客户端证书认证

772

我正在尝试使用我自己的内部 Windows CA 使用 lighttpd 启用客户端证书身份验证。免责声明：我对 PKI 还是很陌生：D

我的 homelab 中有一个离线根 CA 和一个从属 CA。我已经在受信任的 CA 下将根 CA 导入 Firefox。对于客户端证书，我使用 openssl 生成了一个 CSR，我使用启用了客户端身份验证的模板与我的从属 CA 签署了该 CSR。此客户端证书也作为 pfx 文件导入 Firefox。我还配置了 lighttpd，如下所示：

ssl.pemfile = "/etc/lighttpd/certs/lighttpd.pem"
ssl.ca-file = "/etc/lighttpd/certs/ca.cer"
ssl.verifyclient.activate = "enable"
ssl.verifyclient.enforce = "enable"
ssl.verifyclient.username = "SSL_CLIENT_S_DN_CN"

我收到以下错误：

火狐错误：

Peer does not recognize and trust the CA that issued your certificate.
Error code: SSL_ERROR_UNKNOWN_CA_ALERT

Lighttpd 错误：

SSL: 1 error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed 
SSL: 1 -1 error:140E0197:SSL routines:SSL_shutdown:shutdown while in ini

其他：

Acceptable client certificate CA names
DC = org, DC = homelab, CN = homelab-V-2019-ICA-CA
Client Certificate Types: RSA sign, DSA sign, ECDSA sign

钙化酶

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            5a:00:00:00:02:47:18:65:49:6e:51:2a:56:00:00:00:00:00:02
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=V-2019-RCA-CA
        Validity
            Not Before: Nov 24 06:00:19 2020 GMT
            Not After : Nov 24 06:10:19 2021 GMT
        Subject: DC=org, DC=homelab, CN=homelab-V-2019-ICA-CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)

客户证书

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            56:00:00:00:23:c0:0e:f2:75:d8:de:ef:65:00:00:00:00:00:23
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: DC = org, DC = homelab, CN = homelab-V-2019-ICA-CA
        Validity
            Not Before: Dec  1 23:54:33 2020 GMT
            Not After : Nov 24 06:10:19 2021 GMT
        Subject: C = US, ST = Rhode Island, L = Providence, O = HOMELAB, OU = HOMELAB, CN = homelab-V-2019-ICA-CA.homelab.org
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
...
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            1.3.6.1.4.1.311.21.10:

不知道从这里去哪里。任何帮助或文章将不胜感激。:)

1 个回答

Voted

poppopretn · Answer 1 · 2020-12-23T11:42:49+08:00

Best Answer

poppopretn

2020-12-23T11:42:49+08:002020-12-23T11:42:49+08:00

我想如果有人遇到这个问题是什么。现在想起来有点明显。我使用的是从 ADCS Web 注册页面下载的从属 CA 证书。我改为使用从从属 CA 证书导出的根 CA 证书，方法是单击证书路径 -> 查看证书（在根 CA 上）-> 详细信息 -> 复制到文件 -> Base-64 编码的 X.509）。我用这个来做这条线。

ssl.ca-file = "/etc/lighttpd/certs/ca.cer"

我将客户端证书导入 Firefox，它工作正常。

0

Lighttpd 客户端证书认证

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

Lighttpd 客户端证书认证

1 个回答

相关问题