Nginxで特定のSSLクライアント証明書を許可するにはどうすればよいですか？

Question

Nginxのssl_client_certificateおよびssl_trusted_certificateディレクティブを使用して、特定の機関によって署名されたクライアント証明書を許可できます。しかし、どうすれば特定の証明書を許可できますか？証明書のフィンガープリントでフィルタリングするか、認証局+クライアント証明書のシリアル番号でフィルタリングしたいと思います。

Richard Smith · Accepted Answer

Nginxは、$ssl_client_fingerprintと$ssl_client_serialのクライアント証明書のフィンガープリントとシリアル番号、および$ssl_client_i_dnの発行者のDNにアクセスできます。詳細については、このドキュメントを参照してください。

mapを使用して指紋をフィルタリングできます。

例えば：

map $ssl_client_fingerprint $reject { default 1; 87654321abcdef9876543210fedcba123456789a 0; fe8765432176543210fedcba12345678abcdef98 0; } server { ... if ($reject) { return 403; } ... }

詳細についてはこのドキュメントを、ifの使用についてはこの注意を参照してください。