alibek Опубликовано 28 ноября, 2014 · Жалоба Есть SSL-сайт, допустим https://site.ru.'>https://site.ru. В нем есть два основных раздела, https://site.ru/zone1'>https://site.ru/zone1 и https://site.ru/zone2.'>https://site.ru/zone2. При входе на корневую страницу (https://site.ru или http://site.ru) перекидывает на zone2. На zone2 может зайти любой посетитель. На zone1 может зайти пользователь, имеющий сертификат из списка. Сервер Apache 1.3. По информации из интернета получается примерно такое: Конфигурация httpd или .htaccess SSLEngine on SSLOptions +StdEnvVars +ExportCertData SSLCertificateFile site.crt SSLCertificateKeyFile site.key SSLCACertificateFile staff.crt SSLCARevocationFile staff.crl <Location /zone1> SSLVerifyClient require SSLRequire %{SSL_CLIENT_I_DN_Email} in {"ca@site.ru", "staff@site.ru"} SSLOptions +FakeBasicAuth AuthName "Secured Area" AuthType Basic AuthUserFile whitelist.lst require valid-user </Location> whitelist.lst /emailAddress=admin@site.ru:xxj31ZMTZzkVA /emailAddress=user1@site.ru:xxj31ZMTZzkVA /emailAddress=user2@site.ru:xxj31ZMTZzkVA Но отдельно проверить не на чем, а делать на боевом сервере боязно. Просьба проверить, все ли правильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 ноября, 2014 · Жалоба И еще вопрос. Когда сервер запрашивает клиентский сертификат, у посетителя браузер выдает диалоговое окно для выбора сертификата. А можно сделать так, чтобы диалоговое окно не выдавалось? Если у клиента есть нужный сертификат (например сервер отправляет список сертификатов, которые он может принять, либо клиент отправляет на сервер все имеющиеся сертификаты), то ресурс открывается, если нужного сертификата нет, то ошибка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 28 ноября, 2014 (изменено) · Жалоба Насколько помню, то в whitelist.lst должна быть полностью вся строка DN. Ну и в параметре SSLRequire перечислены e-mails, которые не совпадают с whitelist.lst. Хотя, там мыло issuer'а. PS Проверить можно на отдельном каталоге, вставив в .htaccess конфиг вместо части Location. Да, еще забыл. Что бы в whitelist.lst можно было добавлять только e-mails, надо добавить опцию SSLUserName SSL_CLIENT_S_DN_Email Изменено 28 ноября, 2014 пользователем vop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 28 ноября, 2014 · Жалоба Незабываем. https://www.google.com.ua/?gfe_rd=cr&ei=ca94VIqNK8mk8wfz6YDADQ&gws_rd=ssl#safe=off&q=%D0%BD%D0%B5%D1%81%D0%BA%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE+ssl-%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D0%B2+%D0%BD%D0%B0+%D0%BE%D0%B4%D0%BD%D0%BE%D0%BC+ip технологии почему и где проблема описана уже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 29 ноября, 2014 · Жалоба Незабываем. А это для чего? У меня сервер один и IP-адрес один. zone1 и zone2 это разделы на одном сайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 29 ноября, 2014 (изменено) · Жалоба Незабываем. А это для чего? У меня сервер один и IP-адрес один. zone1 и zone2 это разделы на одном сайте. Я так понял, чел для расширения кругозора читателей это написал. :) Изменено 29 ноября, 2014 пользователем vop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...