]> sipb.mit.edu Git - wiki.git/blobdiff - doc/apache-client-certs.mdwn
sipb-www / wiki.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
(no commit message)
[wiki.git] / doc / apache-client-certs.mdwn
diff --git a/doc/apache-client-certs.mdwn b/doc/apache-client-certs.mdwn
index 7342483bb3b4b4ead048c777c2fe04965fc7fecf..d4a064279ef4e8e55802900b0c675cebe6abd59c 100644 (file)
--- a/doc/apache-client-certs.mdwn
+++ b/doc/apache-client-certs.mdwn
@@ -4,7 +4,7 @@ While it's certainly possible to configure client-side certificate authenticatio
 
 ## Installing the modules
 
 
 ## Installing the modules
 
-If you're using Ubuntu, [Evan Broder](http://ebroder.net) has packaged the scripts.mit.edu modules for all current Ubuntu releases in a PPA.
+If you're using Ubuntu, Evan Broder has packaged the scripts.mit.edu modules for all current Ubuntu releases in a PPA.
 
 The [PPA homepage](https://launchpad.net/~broder/+archive/scripts-http-mods) includes instructions on how to install the PPA on your system, but if you're on Ubuntu Karmic or later, you can just run:
 
 
 The [PPA homepage](https://launchpad.net/~broder/+archive/scripts-http-mods) includes instructions on how to install the PPA on your system, but if you're on Ubuntu Karmic or later, you can just run:
 
@@ -20,11 +20,13 @@ You'll also need a working AFS client and the Athena client certificate CA. Both
 
 In addition to the standard Apache directives needed to enable SSL, you'll need a few more before the Apache modules work as they do on scripts. Add the following directives to each vhost that will be using SSL client-side certificate authentication:
 
 
 In addition to the standard Apache directives needed to enable SSL, you'll need a few more before the Apache modules work as they do on scripts. Add the following directives to each vhost that will be using SSL client-side certificate authentication:
 
-    SSLVerifyClient require
-    <Location />
+    SSLCACertificateFile /etc/ssl/certs/mitCAclient.pem
+    <Location />
         AuthSSLCertVar SSL_CLIENT_S_DN_Email
         AuthSSLCertStripSuffix "@MIT.EDU"
         AuthSSLCertVar SSL_CLIENT_S_DN_Email
         AuthSSLCertStripSuffix "@MIT.EDU"
-    &lt;/Location&gt;
+    </Location>
+
+You also need to require certificate authentication. You can either use `SSLVerifyClient required` or `SSLVerifyClient optional`. `SSLVerifyClient required` has the downside that, if visitors don't have client-side certificates, they'll get an obscure OpenSSL error. However, Safari will not present certificates to a site with `SSLVerifyClient optional` set unless the user sets up an Identity Preference. For reference, scripts.mit.edu sets `SSLVerifyClient optional`.
 
 You'll also need to enable the Apache modules.
 
 
 You'll also need to enable the Apache modules.
 
sipb.mit.edu wiki pages