Wenn Sie die Clientauthentifizierung aktivieren, validiert der Server Clients, indem er ein Zertifikat vom Client anfordert und prüft, ob es durch ein in der lokalen Schlüsseldatenbank
enthaltenes Stammzertifikat einer anerkannten Zertifizierungsstelle signiert ist.
Informationen zu diesem Vorgang
Wählen Sie für jeden virtuellen Host die Stufe der Clientauthentifizierung aus:
Vorgehensweise
- Geben Sie mit der Anweisung "SSLClientAuth" in der Konfigurationsdatei für die Zeilengruppe jedes virtuellen Hosts einen der folgenden Werte an: Eine Zeilengruppe eines virtuellen Hosts ist der Abschnitt in der Konfigurationsdatei, der für einen virtuellen Host gilt.
Tabelle 1. Clientauthentifizierungsstufe. In der Tabelle werden die Werte für die Clientauthentifizierungsstufe und eine Beschreibung des Wertes aufgelistet. Wert |
Beschreibung |
Ohne |
Der Server fordert kein Clientzertifikat vom Client an. |
Optional |
Der Server fordert ein Clientzertifikat an, aber es ist nicht erforderlich.
Wenn der Client ein Clientzertifikat übergibt, muss dieses gültig sein. |
Erforderlich |
Der Server fordert von allen Clients ein gültiges Zertifikat an. Ist kein Zertifikat vorhanden, gibt er den Statuscode 403 zurück. |
Required_reset |
Der Server fordert von allen Clients ein gültiges Zertifikat an. Ist kein Zertifikat vorhanden, sendet der Server ein SSL-Alert an den Client. Dem Client ist dann bekannt, dass der SSL-Fehler auf das Clientzertifikat zurückzuführen ist, und bewirkt, dass bei nachfolgendem Zugriff des Browsers die Clientzertifikatsinformationen erneut angefordert werden. |
Beispiel: SSLClientAuth required.
Wenn Sie eine
Zertifikatswiderrufliste (CRL, Certificate Revocation List) verwenden möchten, fügen Sie crl als zweites Argument für "SSLClientAuth"
hinzu. Beispiel: SSLClientAuth required crl.
- Speichern Sie die Konfigurationsdatei, und starten Sie den Server erneut.