ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx ssl



Спасибо за совет — все оказалось проще, но от разработки модуля я в данный момент уже не могу отказаться, буду реализовывать проверку в модуле и добавлять какой-то дополнительный функционал - поддержку отменённых сертификатов (revocation lists), к примеру.

Подкажите, пожалуйста, как реализовать проверку сертификата в модуле.

2009/5/30 Sergey Shepelev <temotor@xxxxxxxxx>
ssl_client_verifty on;

# клиентам с Common Name=test-client-1 в сертификате запрещаем доступ
к урлам /dir
location /dir {
 if ($ssl_client_s_dn ~ "/CN=test-client-1/") { return 403; }
}

# клиентам с Common Name=client-2 в сертификате редиректим /lemus на /dir
location /lemus {
 if ($ssl_client_s_dn ~ "/CN=client-2/") { rewrite ^ /dir/; }
}

2009/5/30 Alexander Sidukov <alexander.sidukov@xxxxxxxxx>:
> Я пишу дипломную работу, в её рамках необходимо разработать модуль, который
> может авторизовать пользователей используя клиентские SSL сертификаты, и
> накладывать соответствующие ограничения на доступность директорий (к
> примеру), в зависимости от параметров клиентского сертификата (скажем, от
> Common Name).
>
> Могли бы вы посоветовать как я могу реализовать и обеспечить вызов функции
> (verify_callback), используемой для проверки сертификата в
> SSL_CTX_set_verify() в своем модуле?
>
> Пока есть две идеи: Первая, более «правильная» — «достучаться» из модуля до
> ssl контекста соединения и вызывать для него SSL_CTX_set_verify с функцией в
> модуле, вторая — менять сам код модуля ngx_http_ssl_module.



 




Copyright © Lexa Software, 1996-2009.