設定Apache以用戶憑證(Client CA)的方式進行訪客驗證
在使用Apache管理網頁服務時,有時會遇到希望可以設定某些網頁服務是只有經過授權的人才能存取
常見的做法是可以利用Apache跳出提示輸入帳密提示框後,成功登入者才能進行下一步訪問
今天我們要來講講第二種做法:
發憑證給授權的使用者,並且在每次訪客訪問網站時驗證訪客提交的憑證是否為我方發行無變造過的
確認無誤才準放行進行下一步訪問,如果沒有憑證或憑證沒有通過驗證者都一律拒於門外
使用用戶憑證(Client CA)的方式進行訪客驗證就好像使用SSH Key登入SSH的概念,不用再多背一組帳密
而且因為是使用憑證,他的安全性遠高於帳密
想想假設今天一個網站使用帳密進行驗證,積極一點的駭客會使用暴力破解或字典檔想設法去猜中帳密
但如果今天使用憑證進行驗證,是不是就算再積極也無從下手了呢
步驟
要設定Apache以用戶憑證(Client CA)的方式進行訪客驗證有三個步驟要做:
- 產生用戶憑證檔與憑證私鑰
- 轉換成
pfx格式 - 修改Apache的設定檔強制驗證訪客提供的憑證
以下我就拿自己的phpMyAdmin資料庫後台網頁進行示範,設定只有持有合格的用戶憑證者才能存取
近期迴響