nutzen und dann in einer htpasswd-Datei die erlaubten Zertifikate verwalten. F\u00fcr nginx gestaltet sich dies leider etwas aufw\u00e4ndiger, aber im Endeffekt auch nicht viel.<\/p>\n
Um unter nginx Client-Zertifikatslogins zu erzwingen setzt man f\u00fcr den Server-Block neben den \u00fcblichen Direktiven f\u00fcr SSL zus\u00e4tzlich auch <\/p>\n
ssl_verify_client on;<\/pre>\nDie Authentifizierung erfolgt im n\u00e4chsten Schritt mittels dem Modul auth_request:<\/p>\n
\r\nlocation = \/auth {\r\n internal;\r\n auth_request off;\r\n\r\n if ( $sslauth_clientcert_login_allow = 403 ) {\r\n return 403 \"\";\r\n }\r\n\r\n return 200 \"\";\r\n}\r\n\r\nauth_request \/auth;\r\n<\/pre>\nDiese Art der Konfiguration ist zwar nicht sch\u00f6n, aber selten und tut ihren Zweck. Naja, noch nicht ganz, denn wir m\u00fcssen noch definieren, welche Zertifikate zugelassen werden sollen, in einer Map definieren. Dazu m\u00fcssen wir im Verzeichnis conf.d eine Datei anlegen, die in etwa wie folgt ausschaut:<\/p>\n
\r\nmap \"$ssl_client_fingerprint:$ssl_client_serial:$ssl_client_i_dn:$ssl_client_s_dn\" $sslauth_clientcert_login_allow {\r\n default 403;\r\n\r\n \"Fingerprint(LC):Serial(UC):Issuer:Subject\" 200;\r\n}\r\n<\/pre>\nNun den Server einmal neustarten und siehe da, es geht wie gew\u00fcnscht \ud83d\ude42<\/p>\n
![\"Flattr](\"http:\/\/blog.benny-baumann.de\/wp-content\/plugins\/flattr\/img\/flattr-badge-large.png\"){kind=icon}
<\/a><\/p>","protected":false},"excerpt":{"rendered":"