【已回应】建议支持双向证书验证功能

建议在之后的版本中可以添加一个双向SSL验证。即为在服务器作为一个用于验证客户的CA并在后台创建证书给用户。
因为在搭建一些特殊网站（例如供于企业员工访问）时，如果单纯只有密码保护是不够的，员工只要知道密码就可以做到访问，可能会出现例如员工离职密码可能泄露，这时如果改密码再通知会十分繁琐，如果可以直接支持于宝塔面板创建服务器CA，并用服务器创建需要由服务器颁布的证书访问功能，会简化许多对于站点的额外配置，同时当员工离职时可以直接吊销证书，节省泄露问题。而目前CA帮手（第三方插件）虽支持签发服务端、客户端证书，但无法做到双向验证功能，同时CA证书也无法导出，故希望官方支持这一功能！
实例：
建立了一个网站，在站点处可以选择客户端证书验证，然后选择对应签署证书CA，实现双向证书验证，再通过服务器CA，根据用户CSR文件，给用户对应的证书链，供于访问，当用户访问时，就会提示需要证书登录，用户可以自主选择对应证书，如果验证错误，即为用户没有权限使用，拒绝访问对应资源。

如果单纯只有密码保护是不够的，员工只要知道密码就可以做到访问，可能会出现例如员工离职密码可能泄露

这个使用AD域不更好么？

大炮运维V587 发表于 2019-8-7 09:59
这个使用AD域不更好么？

使用AD域确实可以做到，但是Linux加入AD域的流程也较为复杂，且目前宝塔也没有一键加入AD域的方式，所以会有这一个想法，且当遇到技术问题需要让他人来解决，使用CA签署一个临时证书也不乏为一个相对安全的方式。且如果遇到例如该网站既需要有对外展现的网站又要有内部成员使用的网站（有时可能只是因为服务器太少），此时使用CA会更好的解决这一问题，而且操作简单。以nginx为例，双向证书验证在站点中的配置也只要加入证书CA公钥和开启双向证书验证就可以了，操作耗时会更低