主页 / server / 问题 / 523517
Accepted
Naftuli Kay
Asked: 2013-07-16 13:54:39 +0800 CST

需要来自所有远程(非本地)客户端的 SSL 客户端证书?

  • 772

我有一个 nginx 服务器,我想向它添加客户端 SSL 证书身份验证。我使用一个系统(GitLab),它需要在内部调用自己的提交钩子等。有没有办法为所有远程(非本地)客户端使用客户端 SSL 设置 SSL?

我想让 GitLab 可以在没有客户端证书的情况下调用自己,但所有远程客户端都必须使用客户端 SSL 证书进行身份验证。

nginx

1 个回答

  1. Best Answer

    在不了解 GitLab 的情况下,使用虚拟主机似乎很容易做到这一点。创建两个虚拟主机,一个具有 TLS 客户端身份验证用于客户端访问,另一个用于从 GitLab 进行本地访问。例如:

    server {
  # Listen on your externally accessible address
  listen        10.0.0.1:443;
  ssl on;
  server_name example.com;

  ssl_certificate      /etc/nginx/certs/server.crt;
  ssl_certificate_key  /etc/nginx/certs/server.key;
  ssl_client_certificate /etc/nginx/certs/ca.crt;
  ssl_verify_client on;

  include shared.conf;
}

server {
  # Listen on localhost or some internal-only address
  listen        127.0.0.1:443;
  ssl on;
  server_name localhost;

  ssl_certificate      /etc/nginx/certs/server.crt;
  ssl_certificate_key  /etc/nginx/certs/server.key;
  ssl_client_certificate /etc/nginx/certs/ca.crt;
  ssl_verify_client optional;

  include shared.conf;
}

    将应该由两个虚拟主机共享的任何配置放入其中shared.conf以避免重复。

    • 1

相关问题