ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx ssl


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: nginx ssl
  • From: Sergey Shepelev <temotor@xxxxxxxxx>
  • Date: Sat, 30 May 2009 17:27:22 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=+ko1g0s49VUiglnj9TJys+csAsp5dv2dNFtHwXMssbs=; b=I3oG660nRMj+wj7r7D5Pu69XZHMg2UaQ5booyNHVljb3Ju5xtFHuoCQVCQl4y3e0G2 okkeohd4ln3NdqN+cD+yCuVZ9pKoNUE7/euOB4UVDpUAsdtElOAxu476vppNRWAxAe05 oel9/pHP/jav+9LUWUQpjAOkXDIgt6FffLxxY=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=Pan4Qr7cYpgWlGc9rfKmr0s1WZiP5neLcQoDlVDdGplvh6eURmhb/iw/tkMyqcyHNU Uno9XS0jqqOrB4qVa+pp9ZGOn7B4M3yL8DwBWRZrCKl8QXs7bkLJSUcPKl5yfQphfeS9 oWOc3zYyofZ0BGzdX50ZkhaKOlfQiddes+tMk=
  • In-reply-to: <5ec18a740905300423s1838d9aaice52d41486ce3776@xxxxxxxxxxxxxx>
  • References: <5ec18a740905300423s1838d9aaice52d41486ce3776@xxxxxxxxxxxxxx>

ssl_client_verifty on;

# клиентам с Common Name=test-client-1 в сертификате запрещаем доступ
к урлам /dir
location /dir {
  if ($ssl_client_s_dn ~ "/CN=test-client-1/") { return 403; }
}

# клиентам с Common Name=client-2 в сертификате редиректим /lemus на /dir
location /lemus {
  if ($ssl_client_s_dn ~ "/CN=client-2/") { rewrite ^ /dir/; }
}

Усилия запланированные на модуль можно потратить на генератор конфигов.

2009/5/30 Alexander Sidukov <alexander.sidukov@xxxxxxxxx>:
> Здравствуйте,
>
> Я пишу дипломную работу, в её рамках необходимо разработать модуль, который
> может авторизовать пользователей используя клиентские SSL сертификаты, и
> накладывать соответствующие ограничения на доступность директорий (к
> примеру), в зависимости от параметров клиентского сертификата (скажем, от
> Common Name).
>
> Могли бы вы посоветовать как я могу реализовать и обеспечить вызов функции
> (verify_callback), используемой для проверки сертификата в
> SSL_CTX_set_verify() в своем модуле?
>
> Пока есть две идеи: Первая, более ?правильная? ? ?достучаться? из модуля до
> ssl контекста соединения и вызывать для него SSL_CTX_set_verify с функцией в
> модуле, вторая ? менять сам код модуля ngx_http_ssl_module.
>
> Был бы очень рад совету, фрагменту кода ? тем более.
>

  • References:

 




Copyright © Lexa Software, 1996-2009.