オレオレ認証局で作成したクライアント証明書を作る。
p12形式に変換する。
クライントPCに証明書を取り込む。
サーバの設定は下記。関係するところだけ抜粋
server{
ssl_verify_client optional; #on だと常時利用
ssl_verify_depth 2;
ssl_client_certificate /etc/ssl/mydomain/ca.pem; #オレオレ認証局ルート証明書
location / {
#クライアント認証されてなくてもアクセス可。
}
location /auth/ {
#クライアント認証OK? 成功しなかったらエラー403(forbidden)
if ($ssl_client_verify != SUCCESS) {
return 403;
}
#指定した認証局で承認されたクライアント?違ってたらエラー403(forbidden)
if ( $ssl_client_i_dn !~ " CN=オレオレ認証局CN" ){
return 403;
}
#許可したいクライアント? 違ってたらエラー403(forbidden)
if ($ssl_client_s_dn !~ " CN=クライアント証明書CN" ){
return 403;
}
}
}