從屬站鑑別:IBM HTTP Server
系統管理 IBM HTTP Server 文件

鑑別從屬站

IBM HTTP Server 會根據從屬站憑證資訊來支援三個層次的從屬站鑑別及兩種存取控制。 這一節要討論如何設定所需要的從屬站鑑別層次和存取控制類型,另外還有相關的附註附註:。 這一節的結尾有相關資訊的鏈結。

設定從屬站鑑別層次

請利用 SSLClientAuth 指引來設定從屬站鑑別層次:

您可以新增第二個引數 crl 來使用憑證廢止清冊。 例如,SSLClientAuth 1 crl

>選取必要的層次

如果選擇「必要的」從屬站鑑別層次,安全伺服器會向提出 HTTPS 要求的所有從屬站,要求憑證。 伺服器會檢查本端金鑰資料庫中是否有具公信力的憑證管理中心主要憑證來驗證從屬站。 具公信力的憑證管理中心 (CA) 主要憑證是您的伺服器指定為具公信力的 CA 之憑證管理中心所簽發的憑證。

如果從屬站具備有效的憑證,伺服器就會建立安全連線。 如果從屬站具備的憑證已過期,或簽發憑證的憑證管理中心 (CA) 不是伺服器所指定的具公信力 CA,伺服器就會拒絕要求。

附註:

SSL 從屬站鑑別會增加網路通訊量。

選擇選用層次

如果您選擇「選用」層次的從屬站鑑別,伺服器會要求從屬站憑證。 如果從屬站沒有提供憑證,伺服器仍會建立安全連線。 如果從屬站提供了過期的憑證,或簽發憑證的憑證管理中心 (CA) 不是伺服器所指定的具公信力 CA,伺服器就會拒絕要求。

附註:

SSL 從屬站鑑別會增加網路通訊量。

選擇「無」

如果您選擇「無」,安全伺服器不會向從屬站要求憑證。

設定存取控制類型

請利用 SSLFakeBasicAuthSSLClientAuthRequire 指引來設定存取控制類型。

附註:

SSLClientAuthRequire 指引是偏好的從屬站鑑別類型。

SSLFakeBasicAuth 指引

不建議您使用 SSLFakeBasicAuth 指引。 為了搭配 Apache SSL 碼或 mod_ssl 和 Apache 而產生的密碼檔,不能用於 IBM HTTP Server,因為識別名稱的格式不同。

SSLFakeBasicAuth 類型提供簡單的從屬站鑑別方法。 如果您指定 SSLFakeBasicAuth,則從屬站憑證的區別名稱和密碼 (亦即 "password") 是以 Base64 編碼,且會存放在授權標題中。 將 mod_ibm_ssl 模組擺在模組清單中的第一位, 使得後續的鑑別模組都有基本的鑑別使用者 ID 和密碼可用。 在指定的虛擬主電腦內的基本鑑別支援沒有作用,因為從屬站識別名稱和密碼 (password) 會改寫使用者提供的使用者 ID 和密碼。

如果要顯示從屬站憑證的區別名稱,請建立一個 CGI 程式,來輸出 SSL_CLIENT_DN 環境變數。

SSLClientAuthGroup 指引

這個指引使您能夠指定特定從屬站憑證屬性的邏輯字串,並將它們組成同一個單元。 此功能使得一組特定的從屬站憑證屬性,可以存取該伺服器上的多個物件。

語法為 SSLCLientAuthGroup (名稱) (表示式)

可以使用括弧將比較分組。 如果屬性的值中有包含非英數字元,值必須以引號區隔。

有效屬性如下: 

CommonName
      Country
      Email
      Group
    IssuerCommonName
      IssuerCountry
      IssuerEmail
      IssuerLocality
      IssuerOrg
      IssuerOrgUnit
      IssuerStateOrProvince
      Locality
      Org
      OrgUnit
      StateOrProvince

下列短名稱也有效: 

     CN, C, E, G, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST

SSLClientAuthRequire 指引

更具延伸性的 SSLClientAuthRequire 支援使網站管理員能夠定義含有 x509 屬性的邏輯表示式。 邏輯表示式和從屬站憑證資訊之間的比較決定了物件的存取權。 開始處理之前,GSK 會驗證從屬站憑證,以確定憑證經過具公信力的憑證管理中心的簽章。

SSLClientAuthRequire 指引使網站管理員能夠建置由 AND、OR 和 NOT 鏈結起來的屬性檢查所組成的邏輯表示式。 您也可以使用括弧。 例如: 

SSLClientAuthRequire (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM
表示只有包含 Fred Smith 或 John Deere 的一般名稱且組織是 IBM 的從屬站憑證可以存取物件。

對於屬性檢查,有效的比較只有「等於」和「不等於」(= 和 !=)。 您可以利用 AND、OR 或 NOT(也可以使用 &&、|| 及 !)來鏈結每個屬性檢查。 當您指定單一資源的多個 SSLClientAuthRequire 指引時,資源的行為會如同用 Boolean AND 運算子結合了各個值一樣。

可以使用括弧將比較分組。 如果屬性值含有非英數字元,請用引號括住值。

有效屬性如下: 

CommonName
      Country
      Email
      IssuerCommonName
      IssuerCountry
      IssuerEmail
      IssuerLocality
      IssuerOrg
      IssuerOrgUnit
      IssuerStateOrProvince
      Locality
      Org
      OrgUnit
      StateOrProvince

下列短名稱也有效: 

     CN, C, E, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST

 
尋找相關資訊
     (返回最上面)