我有一个自托管的 Wordpress 博客。只要有可能,我都会尝试使用 SSL 和 X.509 客户端证书身份验证来保护 Web 应用程序的管理界面。对于 phpMyAdmin 之类的东西,我的所有这些都可以正常工作,因此 Web 服务器的技术位都已到位。
我的主机设置是:
- nginx 0.7.x
- 带有 fpm 补丁的 PHP 5.2.10
- MySQL 5.x
我在 VPS 上运行所有这些,所以我只有一个外部 IP。我在盒子上运行了其他几个 SSL 网站:一个在默认端口上,所有其他网站在备用端口上(这样每个网站都可以拥有与其主机名匹配的不同证书)。
我的意图是有两个服务器配置块:
- 如果您尝试访问 /wp-admin 下的任何内容,则一个服务 blog.domain.com 端口 80 返回 404
- 另一个在端口 8443 上运行,没有 URL 限制,但需要提供有效的 X.509 客户端证书。
我面临的问题是 Wordpress 不喜欢在两个不同的端口上访问。每当我尝试访问https://blog.domain.com:8443时,它会将我重定向到https://blog.domain.com,这完全是一个不同的虚拟主机(服务器上的主站点,默认运行港口)。然后,我在浏览器中收到证书名称错误,即使我覆盖了警告,我也不再与 wordpress 网站交谈。
博客的主 URL 存储在 wp_options 表中:
mysql> select option_value from wp_options where option_name = 'siteurl';
+------------------------------+
| option_value |
+------------------------------+
| http://blog.domain.com |
+------------------------------+
1 row in set (0.00 sec)
mysql>
所以我不能只制作博客文件的第二份副本,并将主 URL 设置为https://blog.domain.com:8443并以这种方式访问管理界面。
有任何想法吗?
更新
在使用建议的答案玩了一段时间后,我得出的结论是不可能完全按照我的意愿去做。启用 wordpress 中的功能会导致用户向 /wp-(admin|login|register) 发出 SSL 请求,如果我在 SSL 端需要 X.509 客户端证书,他们就无法做到这一点。
我想出的最佳解决方案是设置一个带有证书身份验证的 SSL 前端,它只是将请求代理回非 SSL nginx。即使这样,我也不能完全切断对 /wp-admin 的非 SSL 访问,因为用户注册和配置文件管理中使用的大部分 CSS 和 Javascript 都来自该目录。
我可以允许通过 HTTP 访问 /wp-admin 下的 CSS、图像和 Javascript,并且只需要对 PHP 脚本进行 SSL 访问,但是用户不能修改他们的配置文件(配色方案、显示名称等)。下一步将是识别普通用户所需的 PHP 脚本子集,并让那些通过 HTTP 而拒绝其余的,但是如果他们重新组织事情,我将成为 wordpress 开发团队的奴隶。
我想这归结为训练自己只通过 SSL 管理博客,即使服务器允许我通过纯 HTTP 这样做。