限制对apache上vhost的访问仅限于一个域的证书。

Question

我需要一个Apache服务器来提供多个vhost。每个vhost只能由一个客户访问。为了澄清这一点，我将举一个小例子：

• vhost1: Servername: cust1.example.com
• vhost2: Servername: cust2.example.com

现在，只有来自customer1的主机才能访问vhost1，只有来自customer2的主机才能访问vhost2。以下是我迄今所做的工作：

• 使用openxpki (works)设置CA
• 为每个vhost创建一个证书，并适当地配置vhost(工作)
• 将CA的根证书导入服务器和客户端(works)
• 测试客户端-SSL是否可以不进行过滤。(工程)

但现在我不能让过滤起作用了。我想过滤一下证书中的CN。对于vhost1，这将是允许所有CN为"*.cust1.example.com“的证书访问重新源。我怎样才能做到这一点？

奖金:最好能用傀儡

来管理变更。

你好，克里斯蒂安

Answer 1

可能更容易为每个客户创建一个(中间或根) CA，并使用该CA为每个客户颁发证书。

然后将每个vhost配置为要求客户端提供一个证书，并确保使用适当的CA来验证它们的证书(例如，每个客户/vhost/域的SSLCACertificateFile都是唯一的)。

一种文件/CA较少的方法(但可能更容易出错)可能涉及单个客户端CA，并使用SSLRequire来匹配客户端证书中设置的O(rganisation)或OU字段(它避免需要为一个看起来像“Bob Smith.the.customer.domain.tld”的人设置一个CN )。

详情请参见https://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslrequire。