auth_http_pass_client_cert
`auth_http_pass_client_cert` 指令配置是否将客户端证书传递给认证 HTTP 服务器。
NGINX Mail Core
·
mailmail server
语法auth_http_pass_client_cert on | off;
默认值off
上下文mail, mail server
参数flag
说明
auth_http_pass_client_cert 指令属于 NGINX Mail Core 模块,控制 HTTP 身份验证过程中客户端证书转发的行为。当设置为 on 时,NGINX 会将客户端证书转发到外部 HTTP 身份验证服务器,后者可以根据需要检查或验证该证书。这在客户端证书作为身份验证机制一部分的部署中特别有用,可允许针对集中式服务器进行验证。
该指令可取两个值:on 和 off。默认情况下该指令为 off,意味着不会转发客户端证书。如果需要此功能,运维人员必须在其 NGINX 邮件配置中显式声明。当设置为 on 时,相关的客户端 SSL 信息会被传递,这对于通过证书正确验证用户身份至关重要。
在实际使用中,应进行适当测试以确保配置按预期工作,特别是在需要客户端证书才能访问某些资源的环境中。如果错误配置该指令,可能导致认证失败或安全漏洞,例如在不应提供证书时证书被错误处理或暴露。
配置示例
mail {
auth_http_pass_client_cert on;
# additional configuration...
}⚠
确保外部 HTTP 身份验证服务器已正确设置,以处理发送的客户端证书。
⚠
误解将此指令设置为 on 的效果,因为如果 HTTP 服务器未正确处理,可能会暴露客户端证书。