如何解决在位置上下文中使用 Apache 作为具有 SSL 客户端证书的反向代理的问题
首先:我有一个使用 Phusion Passenger 的可行解决方案。但是我需要更换Passenger,因为它每隔几分钟就会发疯并占用100% 的CPU 时间。
我在 Archlinux 上使用 Apache 2.4.46 的 Virtualhost 如下所示:
<!-- doing SNI ;) -->
<VirtualHost IP:443>
ServerAdmin ...
ServerName ...
# still don't see the cause
LogLevel debug
# HSTS
Header always set Strict-Transport-Security "max-age=31536000;"
Include /etc/httpd/conf/ciphers.conf
# LetsEncrypt Server certificates (works great)
SSLCertificateKeyFile ...
SSLCertificateChainFile ...
SSLCertificateFile ...
# Client CERT's (permissions are OK)
SSLCACertificatePath ...
SSLCACertificateFile ...
SSLVerifyClient none
基本的非工作示例是这个
ProxyPass / http://localhost:27091/
ProxyPassReverse / http://localhost:27091/
<!-- The whole application works fine until I need to log in... -->
<Location "/login/by_cert" >
SSLVerifyClient optional <-- SSLVerifyClient causes a 403!
SSLVerifyDepth 1
RequestHeader set REMOTE_USER "%{SSL_CLIENT_S_DN_CN}s"
</Location>
这行不通:
<!-- user needs to login -->
<Location "/login/by_cert" >
SSLVerifyClient optional <-- SSLVerifyClient causes a 403!
SSLVerifyDepth 1
RequestHeader set REMOTE_USER "%{SSL_CLIENT_S_DN_CN}s"
</Location>
ProxyPass / http://localhost:27091/
ProxyPassReverse / http://localhost:27091/
无论我将 ProxyPass 指令放在哪里:它会导致 403,进而导致 Apache 尝试传递预定义的错误文档,然后将错误文档的路径传递给后端 Sinatra 应用程序,然后后端 Sinatra 应用程序返回 404,因为它对该路径一无所知。
如果我省略
ProxyPass / http://localhost:27091/
ProxyPassReverse / http://localhost:27091/
然后我的浏览器做他们应该做的事情:打开证书对话框,我通过了身份验证。
我也尝试了 nginx,但它无法在 Location 上下文中处理 SSLVerifyClient。身份验证子域有效,但随后我必须解决会话 cookie 问题。因为在我重定向回我的应用程序后,会话消失了......
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。