配置客户端身份验证
为了确保只有受信任的客户端应用程序才能访问使用 HTTPS 的 MATLAB® Production Server™ 实例,请通过在 main_config 服务器配置文件中设置以下属性来配置服务器实例以要求客户端身份验证:
将
ssl-verify-peer-mode配置属性设置为verify-peer-require-peer-cert。配置服务器实例以使用系统提供的证书颁发机构 (CA) 存储、服务器特定的 CA 存储,或同时使用两者。
使用这些配置属性来控制服务器实例使用的 CA 存储:
x509-ca-file-store指定 PEM 格式的 CA 存储来验证客户端。x509-use-system-store指示服务器实例使用系统 CA 存储来验证客户端。注意
x509-use-system-store不适用于 Windows®。
(可选)配置服务器实例以遵循 CA 存储区中的任何证书吊销列表 (CRL)。
通过在服务器配置中设置
x509-use-crl属性来指定此行为。如果不设置此属性,服务器实例将忽略 CRL,并可能使用已吊销的凭据对客户端进行身份验证。小心
在添加
x509-use-crl属性之前,您必须将 CRL 列表添加到服务器的 CA 存储中。如果 CA 存储不包含 CRL 列表,服务器将会崩溃。
此配置片段配置了一个服务器实例,以使用系统 CA 存储对客户端进行身份验证并遵循 CRL:
...
--https port
--x509-cert-chain ./x509/my-cert.pem
--x509-private-key ./x509/my-key.pem
--x509-passphrase ./x509/my-passphrase
--ssl-verify-peer-mode verify-peer-require-peer-cert
--x509-use-system-store
--x509-use-crl
...必须将服务器配置为使用 HTTPS 才能配置客户端身份验证。
