Das führt wiederum dazu, dass die mir bekannten Web-Browser den Benutzer weder dazu auffordern ein Zertifikat zu wählen, noch wählen sie selbst eines
Eben deshalb würde mich eine konkrete Config, wie sie AutoYaST anpreist, interessieren.
Es geht nämlich m.e. garnicht...
Ich möchte eine Webseite mit einem Client Zertifikat schützen. Da ich aber nur ein Webhosting habe, bin ich mir nicht sicher ob das überhaupt klappt. Meine Versuche mit .htaccess waren bislang nicht erfolgreich. Hat jemand Erfahrung damit?
Erfahrung im Webserver-Kontext nicht (weil ich dafür aus historischen Gründen stunnel auf einem RS verwende), aber grundsätzlich sollte das mit Apache2 funktionieren, vgl. die Direktive SSLVerifyClient. Hier findet sich eine kurze Beschreibung zum Ablauf der Installation. Bedingung ist, dass alle referenzierten Direktiven im .htaccess-Kontext ausgewertet werden.
Ich meine, gelesen zu haben, dass es Webhosting-Anbieter gibt, welche dies explizit verhindern (warum auch immer). Um Konfigurationsfehler auszuschließen, würde ich vorschlagen, dies parallel in einer lokalen virtuellen Maschine (oder einem Linux-Container) auszutesten, wo es funktionieren muss.
Nachtrag: Ich sehe gerade, dass einige Direktiven im oben verlinkten Beispiel nicht im ".htaccess"-Kontext funktionieren. Wenn man sowieso mit selbst-signierten Zertifikaten arbeitet, könnte ggf. folgender Ansatz funktionieren, ohne dass auf die Hinterlegung/Referenz von Zertifikatsdateien zurückgegriffen wird (nicht ausprobiert); somit reduziert sich die Prüfung "lediglich" auf eine Übereinstimmung von Feldinhalten (vergleiche diese Tabelle), allerdings vergleichbar mit einer "Standard-Zugriffskontrolle" (basic auth) ohne Nutzerinteraktion:
SSLVerifyClient require
SSLVerifyDepth 0
SSLOptions +StrictRequire
Require ssl-verify-client
Require expr %{SSL_CLIENT_I_DN} == "John_Doe_Ltd"
Require expr %{SSL_CLIENT_S_DN} == "John_Doe"
[…]
