SSL 验证

使用安全性证书，服务器可以用两种方式确认用户的身份：

• 使用客户机证书中的信息作为身份的证明

• 验证 LDAP 目录中发布的客户机证书（附加验证）

当您将服务器设置为使用证书信息来验证客户机时，服务器将：

• 首先检查证书是否来自一个信任的 CA。如果不是，验证将失败，事务也将结束。

• 如果证书来自一个信任的证书授权机构 (certificate authority, CA)，则使用 certmap.conf 文件将证书映射到某个用户的条目。

• 如果证书正确进行了映射，则检查为该用户指定的 ACL 规则。即使证书正确进行了映射，ACL 规则也可能会拒绝该用户的访问。

要求对特定资源的访问控制进行客户机验证与要求对服务器的所有连接进行客户机验证不同。如果将服务器设置为要求对所有连接进行客户机验证，则客户机只需要提供由信任的 CA 颁发的有效证书。如果将服务器的访问控制设置为使用 SSL 方法来验证用户和组，则客户机需要：

• 提供由信任的 CA 颁发的有效证书

• 证书必须映射到 LDAP 中的有效用户

• 访问控制列表必须进行正确评估

要求对访问控制进行客户机验证时，需要为 Web 服务器启用 SSL 加密算法。

要成功访问要求进行 SSL 验证的资源，客户机证书必须来自 Web 服务器信任的 CA。如果 Web 服务器的 certmap.conf 文件被配置为将浏览器中的客户机证书与目录服务器中的客户机证书相比较，则需要在目录服务器中发布客户机证书。不过，certmap.conf 文件也可以配置为仅将证书中的选定信息与目录服务器条目进行比较。例如，您可以配置 certmap.conf 文件，使其仅将浏览器证书中的用户 ID 和电子邮件地址与目录服务器条目进行比较。

只有 SSL 验证方法才需要修改 certmap.conf 文件，因为将对照 LDAP 目录对证书进行检查。而要求对服务器的所有连接进行客户机验证则不必如此。如果选择使用客户机证书，则应增加 magnus.conf 中 AcceptTimeout 指令的值。