PHP 和 X.509 身份验证 - 检查证书颁发者答案

【问题标题】：PHP and X.509 authentication - Checking certificate issuerPHP 和 X.509 身份验证 - 检查证书颁发者
【发布时间】：2011-11-04 22:36:55
【问题描述】：

我试图在我的网站上设置一个特定页面，只有经过 X.509 身份验证的人才能访问。关键是，我希望它可供所有拥有由特定中间 CA 颁发的匹配证书的客户使用（我打算在自行生成的根 CA 下有一些中间 CA，但只有一个一个特定的中间 CA 颁发的客户端证书可以访问此页面）。这可以使用 PHP 吗？

如果我需要进一步详细说明，请告诉我，我会尝试添加更多细节。感谢您的帮助！

【问题讨论】：

如果幸运的话，您可能会找到一个 CGI 环境变量来确认 CA httpd.apache.org/docs/2.0/mod/mod_ssl.html#envvars - 如果服务器与客户端证书协商 SSL/TLS 连接（如果您正在尝试这样做）。

【解决方案1】：

是的。当您使用 SSL 扩展和 openssl_x509_parse 函数获取证书信息时，您将可以访问证书中的所有信息。您应该可以在您的 php 脚本中执行此操作：

var_dump(openssl_x509_parse($_SERVER['SSL_CLIENT_CERT']));

您应该在该数组中看到一个“颁发者”密钥，其中包含一个包含有关客户端证书颁发者信息的数组，我假设它可以为您提供所需的信息。

【讨论】：

【解决方案2】：

如果您不想使用 OpenSSL，可以使用最新的 SVN phpseclib, a pure PHP X.509 parser。例如。

<?php
include('File/X509.php');

$x509 = new File_X509();
$x509->loadX509($_SERVER['SSL_CLIENT_CERT']);
echo $x509->getIssuerDN(true);
?>

【讨论】：