証明書がクライアント側でアクセスできるサービスを制限できますか?
組織のCAによって署名された検証証明書を持っています。これを使用して、イントラネットWebサービスでユーザーアカウントを認証できます。
どういうわけか、特定の1つのWebサービスに対してのみ認証できる新しい証明書に署名できますか?または、確認証明書へのフルアクセスを許可したくないスクリプトによる、1つのWebサービスへの制限付きアクセスを有効にする他の方法。
残念ながら、nginxを実行しているWebサービスを変更するアクセス権がありません。
あなたは認証と認可の概念を混ぜ合わせています。 1つはクライアントが誰であるかを知ることであり、2つ目はこのクライアントが実行できることを決定することです。 TLSのクライアント証明書はauthenticationにのみ使用されます。アクセスするサービスがこの証明書を受け入れる場合、authorizedはこのサービスに完全に委ねられています。
どういうわけか、特定の1つのWebサービスに対してのみ認証できる新しい証明書に署名できますか?.
まず、通常、既存のクライアント証明書を使用して新しいクライアント証明書を作成することはできません。また、サービスを変更できない場合、特定のサービスに対して承認されている認証済みクライアントを指定する方法はありません。