Presne tak- budete muset vydavat klientske certifikaty. V praxi to vypada tak, ze vas webserver bude mit v konfiguraci verejny klic nejake (vasi) certifikacni autority a pusti na stranky kohokoli, kdo se prokaze certifikatem podepsanym danou certifikacni autoritou.
Emil Pastelka se sice plete v certifikatech (asi nezna klientske SSL certifikaty) ale ma naprostou pravdu v tom, ze nejjednodussi je prihlaseni v aplikaci. Klientske SSL certifikaty jsou otravne a vyzaduji nekoho kdo se o ne bude starat (a taky zaskoli uzivatele - pouzivani klientskych certifikatu je o rad slozitejsi nez "tady mate jmeno a heslo na web")
EDIT: Takhle vypada konfigurace webserveru pro pouziti klientskych certifikatu (tohle je pro nginx ale Apache a IIS to pochopitelne zvladnou take):
- Kód: Vybrat vše
ssl_client_certificate /etc/client-CA/client-ca.crt;
ssl_verify_client optional;
location / {
if ($ssl_client_verify != SUCCESS) {
return 403;
}
}