Nginx - 如何访问客户端证书的主题备用名称 (SAN) 字段
Nginx - how to access Client Certificate's Subject Alternative Name (SAN) field
我有一个 Nginx 服务器,客户端使用包含特定 CN 和 SAN 的客户端证书向其发出请求。我希望能够提取该客户端证书的 CN(通用名称)和 SAN(主题备用名称)字段。
粗略示例配置:
server {
listen 443 ssl;
ssl_client_certificate /etc/nginx/certs/client.crt;
ssl_verify_client on; #400 if request without valid cert
location / {
root /usr/share/nginx/html;
}
location /auth_test {
# do something with the CN and SAN.
# tried these embedded vars so far, to no avail
return 200 "
$ssl_client_s_dn
$ssl_server_name
$ssl_client_escaped_cert
$ssl_client_cert
$ssl_client_raw_cert";
}
}
使用作为 ngx_http_ssl_module 模块的一部分公开的嵌入式变量,我可以访问 DN(专有名称),因此可以访问 CN 等,但我似乎无法访问 SAN。
是否缺少某些嵌入式 var/其他模块/通用 Nginx foo?我可以访问原始证书,是否可以手动解码并提取它?
我真的宁愿在 Nginx 层执行此操作,而不是将证书向下传递到应用程序层并在那里执行。
非常感谢任何帮助。
可以通过OpenResty + Lua-OpenSSL 解析原始证书得到
参考这个:https://github.com/Seb35/nginx-ssl-variables/blob/master/COMPATIBILITY.md#ssl_client_s_dn_x509
就像这样:
local varibleName = string.match(require("openssl").x509.read(ngx.var.ssl_client_raw_cert):issuer():oneline(),"/C=([^/]+)")
当我尝试通过上游服务器检索 "subject DN" 时遇到了同样的问题。
有人可能会发现以下建议很有用。因此,有一个访问
诸如("subject DN" 等)之类的字段 - 您必须查看 link1. Beside it, I had to through this data into the request header, so I've done it via 'proxy_set_header' (link2)。没有任何额外的 Nginx 扩展是可能的(不需要用 --modules 重建它们,只需要默认模块)
您可以使用 Nginx-builtin map 提取它们,例如中国:
map $ssl_client_s_dn $ssl_client_s_dn_cn {
default "";
~,CN=(?<CN>[^,]+) $CN;
}
我不是 lua 专家,但这是我的工作:
local openssl = require('openssl')
dnsNames = {}
for k,v in pairs(openssl.x509.read(ngx.var.ssl_client_raw_cert):extensions()) do
for k1,v1 in pairs(v:info()) do
if(type(v1)=='table') then
for k2,v2 in pairs(v1) do
if(type(v2)=='table') then
for k3,v3 in pairs(v2) do
if(k3=='dNSName') then
table.insert(dnsNames, v3:toprint())
end
end
end
end
end
end
end
ngx.say(table.concat(dnsNames, ':'))
这是一个示例,说明如何从客户端证书扩展中提取 URI 值,然后将其作为 header 转发到上游服务器。例如,这在实施 WebID over TLS 身份验证时很有用。
location / {
proxy_pass http://upstream;
set_by_lua_block $webid_uri {
local openssl = require('openssl')
webIDs = {}
for k,v in pairs(openssl.x509.read(ngx.var.ssl_client_raw_cert):extensions()) do
for k1,v1 in pairs(v:info()) do
if(type(v1)=='table') then
for k2,v2 in pairs(v1) do
if(type(v2)=='table') then
for k3,v3 in pairs(v2) do
if(k3=='uniformResourceIdentifier') then
table.insert(webIDs, v3:data())
end
end
end
end
end
end
end
return webIDs[1]
}
proxy_set_header X-WebID-URI $webid_uri;
}
让我知道是否可以改进。
我有一个 Nginx 服务器,客户端使用包含特定 CN 和 SAN 的客户端证书向其发出请求。我希望能够提取该客户端证书的 CN(通用名称)和 SAN(主题备用名称)字段。
粗略示例配置:
server {
listen 443 ssl;
ssl_client_certificate /etc/nginx/certs/client.crt;
ssl_verify_client on; #400 if request without valid cert
location / {
root /usr/share/nginx/html;
}
location /auth_test {
# do something with the CN and SAN.
# tried these embedded vars so far, to no avail
return 200 "
$ssl_client_s_dn
$ssl_server_name
$ssl_client_escaped_cert
$ssl_client_cert
$ssl_client_raw_cert";
}
}
使用作为 ngx_http_ssl_module 模块的一部分公开的嵌入式变量,我可以访问 DN(专有名称),因此可以访问 CN 等,但我似乎无法访问 SAN。
是否缺少某些嵌入式 var/其他模块/通用 Nginx foo?我可以访问原始证书,是否可以手动解码并提取它?
我真的宁愿在 Nginx 层执行此操作,而不是将证书向下传递到应用程序层并在那里执行。
非常感谢任何帮助。
可以通过OpenResty + Lua-OpenSSL 解析原始证书得到
参考这个:https://github.com/Seb35/nginx-ssl-variables/blob/master/COMPATIBILITY.md#ssl_client_s_dn_x509
就像这样:
local varibleName = string.match(require("openssl").x509.read(ngx.var.ssl_client_raw_cert):issuer():oneline(),"/C=([^/]+)")
当我尝试通过上游服务器检索 "subject DN" 时遇到了同样的问题。 有人可能会发现以下建议很有用。因此,有一个访问 诸如("subject DN" 等)之类的字段 - 您必须查看 link1. Beside it, I had to through this data into the request header, so I've done it via 'proxy_set_header' (link2)。没有任何额外的 Nginx 扩展是可能的(不需要用 --modules 重建它们,只需要默认模块)
您可以使用 Nginx-builtin map 提取它们,例如中国:
map $ssl_client_s_dn $ssl_client_s_dn_cn {
default "";
~,CN=(?<CN>[^,]+) $CN;
}
我不是 lua 专家,但这是我的工作:
local openssl = require('openssl')
dnsNames = {}
for k,v in pairs(openssl.x509.read(ngx.var.ssl_client_raw_cert):extensions()) do
for k1,v1 in pairs(v:info()) do
if(type(v1)=='table') then
for k2,v2 in pairs(v1) do
if(type(v2)=='table') then
for k3,v3 in pairs(v2) do
if(k3=='dNSName') then
table.insert(dnsNames, v3:toprint())
end
end
end
end
end
end
end
ngx.say(table.concat(dnsNames, ':'))
这是一个示例,说明如何从客户端证书扩展中提取 URI 值,然后将其作为 header 转发到上游服务器。例如,这在实施 WebID over TLS 身份验证时很有用。
location / {
proxy_pass http://upstream;
set_by_lua_block $webid_uri {
local openssl = require('openssl')
webIDs = {}
for k,v in pairs(openssl.x509.read(ngx.var.ssl_client_raw_cert):extensions()) do
for k1,v1 in pairs(v:info()) do
if(type(v1)=='table') then
for k2,v2 in pairs(v1) do
if(type(v2)=='table') then
for k3,v3 in pairs(v2) do
if(k3=='uniformResourceIdentifier') then
table.insert(webIDs, v3:data())
end
end
end
end
end
end
end
return webIDs[1]
}
proxy_set_header X-WebID-URI $webid_uri;
}
让我知道是否可以改进。