预计阅读时间:1分钟|最后更新时间: Invalid Date

# 客户端证书认证

进入应用 SSL 页面,点击编辑证书。

这里选择 Yes 或者 Optional 启用客户端认证。

  • Yes:强制客户端认证,如果没有客户端证书或者客户端证书错误会直接返回 400 错误码。
  • Optional:可选客户端认证,如果没有客户端证书或者客户端证书错误也不会返回 400 错误码,需要在页面规则中使用 Enable SSL Client Verify 动作进行认证。

如果客户端证书是自签证书,则需要上传签发该证书的 CA 证书。

# 页面规则中进行客户端认证

需要确保客户端认证的选项为 Optional

在页面规则中可以根据不同条件灵活地启用客户端认证,比如判断 URI 前缀为 /client-verify 时,才启用客户端认证。

我们也提供了客户端证书中 Subject DNIssuer DN 作为条件,可以区分不同的客户端证书。

Subject DNIssuer DN 可以通过 openssl 命令来读取:

# subject DN
openssl x509 -subject -nameopt RFC2253 -noout -in client.crt

# issuer DN
openssl x509 -issuer -nameopt RFC2253 -noout -in client.crt

如果我们想要自定义客户端认证错误页,可以在启用客户端认证前面添加自定义错误页动作