nginx 双向认证的情况下，获取用户登陆时提交的证书，并在 nginx 中鉴权

最终打算，用沃通的 email 证书来作为双向认证的客户端证书

公司的域名是 www.baidu.com [假设]

那么，我给每个员工申请一个 ...@baidu.com 的域名邮箱，然后用这个域名邮箱去申请沃通的 email 证书
老王的证书是 laowang@baidu.com
老张的证书是 laozhang@baidu.com
老刘的证书是 laoliu@baidu.com

然后在 nginx 里面，获取当前访客的证书信息，如果访客证书使用的邮箱后缀是 baidu.com ，那么就通过，否则不通过

我希望 nginx 本身完成这个基本的判断，不希望没有经过授权的人访问 web 的任何信息，所以希望不合格的用户直接被 nginx 挡在门外

目前我网上搜了下资料，好像 nginx 本身无法做这个判断，但是我感觉 nginx 应该是可以的，但是我不知道如何来实现

所以来此求助各位大神，谢谢

每个回答有意义的朋友我都会帮忙点个感谢

谢谢大家

yeyeye

2015-12-27 00:53:59 +08:00

楼猪可能误会了，并不是客户端有一个 email 证书就能登录任意开启了双向认证的网站，这个是互相对应的、、

一定要你的服务器，把这个客户端证书加入到服务器的设置里，它才能访问你的网站，否则是连接不上的。也就是无需做什么后缀判断，明白吗

ryd994

2015-12-27 01:22:47 +08:00

我说一个已知有效的简单办法，可能要被楼下喷
自建 CA 给员工签证书，设置 ssl_trusted_certificate 为这个 CA 就行
内部使用而不需要公众信任的话没有问题。前提是 PKI CA 整个一套流程要做齐，特别是 revoke 相关的，私钥千万冷储存
另外，你这个需求其实限制内网访问更方便。员工出差的话就用 VPN ，这才是 VPN 本来的用途。

wdlth

2015-12-27 11:48:09 +08:00

证书认证成功后， Nginx 的 $ssl_client_verify 会变成 "SUCCESS"，$ssl_client_s_dn 会变成客户端证书的主题(Subject)，$ssl_client_serial 会变成证书的序列号，剩下的你要怎么判断看你了，在 Nginx 或者传到后端处理也行。

比如可以通过序列号在数据库中匹配用户，这样就算是相同 CA 的证书也弄混不了，同时可以方便的辨别用户。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/246375

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.