通常,伺服器端將驗證客戶端憑證公用名稱(CN)與客戶端網域名稱(DN)是否相符。
但我需要延長安全檢查時間。我需要驗證用戶端入站 IP 位址與用戶端網域名稱 DNS IP 位址是否相符。
例如:-
- 客戶端伺服器憑證 CN 和網域名稱為「test.123.net」。而“test.123.net”DNS(A)記錄IP位址=1.1.1.1。
- 連接是https。
- 當這個客戶端向我的伺服器發送請求時。首先,我需要驗證客戶端 IP 位址與 DNS IP 位址是否相符。在這種情況下,客戶端入站IP位址需要使用IP位址= 1.1.1.1。
- 其次,驗證證書CN與網域是否匹配。在本例中,「test.123.net」與用戶端傳入的網域名稱相符。
我知道我可以使用 OpenSSL 或 Apache 進行 CN 和 DN 驗證,但我找不到任何方法來驗證客戶端 IP 位址與 DN DNS IP 位址相符。
我想知道市場上有沒有什麼工具可以做到這一點?或者任何網頁伺服器都可以做到這一點嗎?我嘗試用谷歌搜尋很長時間但找不到任何東西。
謝謝,
答案1
另一種方法可能會更好地為您服務。
首先,很少有組織擁有自己的 IP 位址空間,對他們來說,設定正確的反向 DNS 是一件麻煩事,需要聯絡他們的 ISP 並要求該服務。這通常是一個手動過程。這表示在「典型」情況下,您不知道哪個組織目前正在使用比 ISP 等級更嚴格的粒度的特定 IP 位址。
這反過來意味著,如果您想要進行顯式的客戶端證書查找,您將要求客戶端創建一個自簽名證書,並向您提供相應的CA 鏈,從他們的角度來看,該鏈將其標識為有效,或購買來自知名 CA 的證書,您可以獨立驗證。在這種情況下,不需要 IP 位址驗證,因為不擁有正確私鑰的竊聽者只會收到來自您的加密混亂訊息 - 使用合法客戶端的公鑰加密的訊息。
如果您想提高安全性,請規劃 VPN 隧道。另一種替代方案(不一定能很好地抵禦有針對性的攻擊)是將對系統的存取限制為明確 IP 位址。