登录认证时启用x.509证书认证时,需要配置受信任根证书:
可以自己制作证书,但比较麻烦,可以用已经制作好的,余润生的文件下里有(\10.13.0.5\public\temp\yurs),解压后得到文件目录:
ca证书是在pam中上传的,先不要动,先看其他4个文件夹任意选择一个,安装到默认路径(在浏览器-设置-证书管理),Google一般在安装后可以直接看到无需再导入,可以查看证书,看到证书上的信息
这里的信息需要在pam上用正则表达式去自定义匹配规则:
这里就是只匹配了用户姓名
证书上传好了以后关掉浏览器,此时会重启nginx,重新打开浏览器回到pam,输入用户信息匹配规则,再上传受信任根证书,注意:此时上传的是ca证书!!!
验证深度:证书的验证深度。整数形式,取值范围是1~99,缺省值为1。如果用户证书直接由根证书签发,验证深度为1;如果用户证书由根证书的一级中间证书签发,验证深度为2;以此类推。
遇到的问题:
nginx服务因为证书上传错误而起不来,导致pam无法访问???
首先在浏览器中上传了正确的证书后(应该在个人的目录下),nginx中会生成一个文件:
但是我当时上传了ca证书,导致该文件错误,导致无法重启nginx服务器
解决办法:
先看下什么问题,systemctl status nginx.server 查看启用和关闭nginx的问题所在
ssh连到该pam服务器中,进到nginx文件中查看nginx的服务器配置(cat /usr/sbin/nginx -c /etc/nginx/nginx.conf),通过vim将x.509的配置信息注释掉,再重启nginx就ok了(sudo systemctl start nginx)
拓展:
查看nginx的状态:
sudo systemctl status nginx
停止nginx:
sudo systemctl stop nginx
重启:
sudo systemctl reload nginx
强制重启:
sudo systemctl restart nginx
强制关闭退出:
sudo nginx -s quit