我们有一个在 HTTP 上运行的内部服务,它前面有一个 Apache 2.4 实例(Debian Bullseye)作为 HTTPS 的代理。Apache 和 HTTPS 已启动并正在运行,但对客户端证书还有一个额外要求——具体而言,GET 和 HEAD 请求可以匿名进行,但所有其他方法必须提供符合特定条件的有效客户端证书。
我们构建的软件以 IIS 为目标,因此 Apache 对我们来说是一个未知数(最初的实施者已经离开)。我们尝试调整我们继承的配置的配置的站点部分(省略证书文件路径指令)为:
SSLVerifyClient optional
SSLVerifyDepth 10
ProxyPass /internal http://<internalIP>:/internal
ProxyPassReverse /internal http://<internalIP>:/internal
SSLOptions +StdEnvVars
<Location /internal>
Order deny,allow
Allow from all
<LimitExcept GET>
SSLRequire ( %{SSL_CLIENT_S_DN_O} eq "(org)" and %{SSL_CLIENT_S_DN_OU} eq "(unit)" and %{SSL_CLIENT_S_CN} eq "(name)" )
</LimitExcept>
</Location>
我们还没有尝试使用客户端证书,例如。POST 因为一个简单的 GEThttps://<proxy>/internal
现在失败并显示 403 和 errors.log 消息:
AH02229:访问代理:http://{internalIP}/internal 失败,原因:未满足 SSL 要求表达式
乍一看,这似乎SSLRequire
也适用于 GET,与<LimitExcept>
.
我们可以使用指令组合来获得所需的行为吗?(理想情况下,它也会远离明显现在已弃用SSLRequire
的东西。)
您可以使用
mod_ssl
基本身份验证来仅允许提供有效证书的人。您需要LimitExcept
像这样修改部分:您可以使用任意数量和组合的
Require
语句,因此如果您还想检查证书属性,可以执行以下操作: