Wenn man bereits sehr viel mit SSL auf seinem Server macht, kommt man früher oder später auch dazu, dass man Client-Zertifikat-Logins für seine Seiten haben möchte. Nun bietet Apache hier relativ einfach
SSLOptions +FakeBasicAuth
nutzen und dann in einer htpasswd-Datei die erlaubten Zertifikate verwalten. Für nginx gestaltet sich dies leider etwas aufwändiger, aber im Endeffekt auch nicht viel.
Um unter nginx Client-Zertifikatslogins zu erzwingen setzt man für den Server-Block neben den üblichen Direktiven für SSL zusätzlich auch
ssl_verify_client on;
Die Authentifizierung erfolgt im nächsten Schritt mittels dem Modul auth_request:
location = /auth {
internal;
auth_request off;
if ( $sslauth_clientcert_login_allow = 403 ) {
return 403 "";
}
return 200 "";
}
auth_request /auth;
Diese Art der Konfiguration ist zwar nicht schön, aber selten und tut ihren Zweck. Naja, noch nicht ganz, denn wir müssen noch definieren, welche Zertifikate zugelassen werden sollen, in einer Map definieren. Dazu müssen wir im Verzeichnis conf.d eine Datei anlegen, die in etwa wie folgt ausschaut:
map "$ssl_client_fingerprint:$ssl_client_serial:$ssl_client_i_dn:$ssl_client_s_dn" $sslauth_clientcert_login_allow {
default 403;
"Fingerprint(LC):Serial(UC):Issuer:Subject" 200;
}
Nun den Server einmal neustarten und siehe da, es geht wie gewünscht 🙂
