我有以下设置:
有2个服务器需要SSL客户端证书。证书用于身份验证。
用户(使用他的浏览器)将使用他的客户端证书向Server1发出请求。到目前为止,一切顺利。现在,我想做的是:Server1将向Server2发出请求,解析该响应,并将其返回给用户。
Server1使用php_curl执行请求。我希望Server1将(用户的)原始客户端证书传递给Server2(它将验证用户,…)。然后Server1"代表"用户发布。
这可能吗?
Apache启用了ExportCertData SSLOption。我已经尝试将以下标头添加到curl选项中(认为这与使用客户端证书的Apache代理设置大致相同):
$headers[] = "SSL_CLIENT_S_DN: ".$_SERVER['SSL_CLIENT_S_DN'];
$headers[] = "SSL_CLIENT_I_DN: ".$_SERVER['SSL_CLIENT_I_DN'];
$headers[] = "SSL_SERVER_S_DN_OU: ".$_SERVER['SSL_SERVER_S_DN_OU'];
$headers[] = "SSL_CLIENT_VERIFY: ".$_SERVER['SSL_CLIENT_VERIFY'];
$headers[] = "SSL_CLIENT_V_START: ".$_SERVER['SSL_CLIENT_V_START'];
$headers[] = "SSL_CLIENT_V_END: ".$_SERVER['SSL_CLIENT_V_END'];
$headers[] = "SSL_CLIENT_M_VERSION: ".$_SERVER['SSL_CLIENT_M_VERSION'];
$headers[] = "SSL_CLIENT_M_SERIAL: ".$_SERVER['SSL_CLIENT_M_SERIAL'];
$headers[] = "SSL_CLIENT_CERT: ".$_SERVER['SSL_CLIENT_CERT'];
$headers[] = "SSL_CLIENT_VERIFY: ".$_SERVER['SSL_CLIENT_VERIFY'];
$headers[] = "SSL_SERVER_M_VERSION: ".$_SERVER['SSL_SERVER_M_VERSION'];
$headers[] = "SSL_SERVER_I_DN: ".$_SERVER['SSL_SERVER_I_DN'];
$headers[] = "SSL_SERVER_CERT: ".$_SERVER['SSL_SERVER_CERT'];
您不能用原始客户端证书传递请求,除非您手头有带密钥之类的证书。这就是SSL的工作原理。
如果你同时运行两个服务器,你可以在Server1上验证客户端证书,并通过自定义头或任何你认为最适合的方式在Server2上传递验证信息。
如果您不负责第二台服务器,那么您就没有运气了,因为使MITM攻击变得简单并不是SSL创建者的意图之一。