Использование переменных сервера для аутентификации в веб-приложении
Модуль mod_digt_tls аналогично mod_ssl формирует переменные веб-сервера. Дополнительно к набору стандартного модуля в нем поддерживается переменная SSL_CLIENT_EKU, описание которой приводится в пункте «5. SSLRequire» раздела «Организация двусторонней аутентификации».
Переменные сервера удобно использовать для обеспечения аутентификации пользователя в веб-приложении по сертификату дополнительно к аутентификации по логину и паролю. Для этого необходимо на веб-сервере включить возможность (SSLVerifyClient optional) или требование (SSLVerifyClient require) установления двухсторонней аутентификации, а также добавить в веб-приложение определение соответствия между пользователем и его сертификатами. Наиболее простой способ – это помещать логин пользователя в одно из полей имени владельца сертификата аутентификации, а наиболее гибкий – хранить сертификаты или только уникальную информацию (имя издателя + серийный номер) из них в таблице веб-системы с привязкой к учетным записям пользователей.
Если Trusted TLS используется на отдельном от веб-приложения сервере, то на нем необходимо настроить передачу переменных сервера, например, с использованием директивы RequestHeader модуля mod_headers. Пример частичной конфигурации виртуального хоста:

ProxyPass / http://backend.some-portal.local/
ProxyPassReverse / http://backend.some-portal.local/

RequestHeader add Forwarded-Ssl-Client-I-Dn "%{SSL_CLIENT_I_DN}s"
RequestHeader add Forwarded-Ssl-Client-M-Serial "%{SSL_CLIENT_M_SERIAL}s"
RequestHeader add Forwarded-Ssl-Client-S-Dn "%{SSL_CLIENT_S_DN}s"

Название заголовков запроса должно удовлетворять RFC 822, п.3.1 (для HTTP/1.1 – RFC 2616, 4.2).
В данном примере пересылаемым переменным с целью отделения от локальных добавляется префикс «FORWARDED_». А доступ к ним должен производиться с префиксом «HTTP_FORWARDED_», например, «HTTP_FORWARDED_SSL_CLIENT_I_DN».
Пример обращения к переменным сервера из PHP:
<?php
function WriteServerVariable($sVarName)
{
echo $sVarName . " = '" . $_SERVER[$sVarName] . "'<br>";
}
WriteServerVariable("SSL_CLIENT_I_DN");
WriteServerVariable("SSL_CLIENT_M_SERIAL");
WriteServerVariable("SSL_CLIENT_S_DN");
WriteServerVariable("HTTP_FORWARDED_SSL_CLIENT_I_DN");
WriteServerVariable("HTTP_FORWARDED_SSL_CLIENT_M_SERIAL");
WriteServerVariable("HTTP_FORWARDED_SSL_CLIENT_S_DN");
?>
Пример обращения к переменным сервера из ASP:
<%
sub WriteServerVariable(ByVal sVarName)
Response.Write sVarName & " = '" & Request.ServerVariables(sVarName) & "'"
Response.Write "<br>"
end sub
WriteServerVariable("CERT_ISSUER")
WriteServerVariable("CERT_SERIALNUMBER")
WriteServerVariable("CERT_SUBJECT")
WriteServerVariable("HTTP_FORWARDED_SSL_CLIENT_I_DN")
WriteServerVariable("HTTP_FORWARDED_SSL_CLIENT_M_SERIAL")
WriteServerVariable("HTTP_FORWARDED_SSL_CLIENT_S_DN")
%>