Comments 11
Где проверка списка отзыва сертификатов ?
Быстрый способ запустить локально нджинкс:
docker run --name nginx -d --rm -v $PWD:/etc/letsencrypt/live/test-mtls.example.com:Z -v $PWD/nginx.conf:/etc/nginx/nginx.conf:Z --network host nginx
Быстрый способ проверить курлом из консоли:curl -vvv --resolve test-mtls.example.com:8443:127.0.0.1 --http1.1 -E user.crt --key decrypted.key.pem "https://test-mtls.example.com:8443/"
Вы не предусмотрели возможность отзыва сертификатов. И по-хорошему, ключи нужно генерить пользователям самим, а не администратору.
Отзыв есть в конце статьи, но он костылный, согласен, что нужно сделать изящней.
Для кейса, который был в моем опыте, генерировать стоит администратору, поскольку конечные пользователи недостаточно технически подкованы и были требования безопасности, по которым пользователь не должен иметь возможности генерации сертификатов, поскольку в таком случае любой человек может сделать доступ к системе, если у него есть исходные данные для генерации сертификата
Аутентификация готова, главное не забывать отзывать сертификаты, если пользователю они больше не нужны.
Но самое главное не забывать отзывать сертификаты пользователя, если был скомпрометирован (в том числе и утерян носитель закрытого ключа) закрытый ключ сертификата.
Во времена пользования webmoney, помню, проходишь по специальной ссылке, и тебе устанавливается твой личный сертификат прямо в браузер.
а для мобильных клиентов работает ? когда я последний раз пробовал были проблемы
Настройка авторизации через ssl сертификат на уровне nginx