Q&A
NGINXの場合、以下の設定でクライアント証明書に登録されているシリアル番号でサーバ側のアクセス制限ができる事がわかりました。
conf
1server { 2 listen 443 ssl http2; 3 server_name www.example.com; 4 root /var/www/html/www.example.com; 5 6 ・・省略 7 8 ssl_verify_client on; 9 ssl_verify_depth 3; 10 ssl_client_certificate /etc/nginx/xxxxxx.crt; 11 12 charset utf-8; 13 resolver 8.8.8.8; 14 location / { 15 if ($ssl_client_serial !~* ^(xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx)$) { 16 return 403; 17 } 18 } 19}
上記の制限をApacheで実現しようと以下のように設定しました
conf
1<VirtualHost *:443> 2 DocumentRoot /var/www/html/www.example.com 3 ServerName www.example.com 4 SSLEngine on 5 6 ・・・省略 7 8 SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/ca-bundle.crt 9 <Location "/"> 10 SSLVerifyClient require 11 SSLVerifyDepth 3 12 13 // 多分、SERIAL_NUMBER_NAMEに「$ssl_client_serial」に代わる変数(定数?)名が 14 // 入ると思われる 15 SSLRequire %{SERIAL_NUMBER_NAME} in {"SERIAL_NUMBER_VALUE"} 16 17 </Location> 18</VirtualHost>
しかし、SERIAL_NUMBER_NAMEの名称が何になるのか、また上記の構文で間違いないかわからない状態です。
何卒ご教授のほどお願いします。
回答1件
0
ベストアンサー
マニュアル を見ると、%{SSL_CLIENT_M_SERIAL} のようです。
SSLRequire の書式は合っていると思います。
しかし、SSLRequire is deprecated とのことで、替わりにに Require expr を使った方がいいかもしれません。
(例) Require expr "%{SSL_CLIENT_M_SERIAL} in {"シリアル番号"}"
投稿2020/02/14 09:06
総合スコア12173
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。