лана, приступим....
>- CA -- это "Certificate Authority"?
это я знаю
>- Тогда что такое CA-сертификаты?
в этом CA сертификате хранится весь список уполномоченных по выдаче сертификатов (+ их сертификаты) и соответственно признаются как допустимые уполномоченные для сертификации клиентов, вот, из за этого я и назвал их CA-сертификаты
ну может быть немного не правильно. давай я перифразирую вопрос: как можно раздать права доступа используя сертификат клиента.
>- Что есть SSL_CLIENT_S_DN_CN?
это компонент CN в Subject DN клиента, а сабж этот находится в сертификате клиента.
>- И как с его помощью раздавать права доступа?
если допустим каждый SSL_CLIENT_S_DN_CN будет разный в системе то вполне возможно.
для чего это мне все нужно:
для доступа к системе использую
http://www.aladdin.ru/index.php?id=8 эту хрень
т.е. есть свой центр сертификации который генерит эти сертификаты и засовывает на эти флешки, далее
в конфиге апача пишу:
-------------------------------------------
SSLCACertificateFile /patch/to/file.pem (тута файл центра(ов) сертификации)
SSLVerifyClient require
SSLVerifyDepth 1
--------------------------------------------
все, теперь доступ к системе закрыт и допускаются только доверенные пользователи. осталось только раздать права доступа, для этого мне нужен какой-нить параметр для индентификации юзеров, из всех переменных сред SSL наиболее подходящей как мне показалось будет SSL_CLIENT_S_DN_CN. вот
