目录#

1.WebAuthn配置
2.PVE域名和证书
3.验证可行性
4.修复问题
5.参考资料

WebAuthn配置#

配置WebAuthn需要这三个内容

* 来源应为位于/.well-known/webauthn的json文件，如对于 example.com 的 rpID，文件必须在https://example.com/.well-known/webauthn （注意：没有 .json 扩展名）上 ^1

由于我使用Firefox，并未实现这种多源实现，所以我们使用另一种WebAuthn机制:

默认情况下，rpID 是创建 Passkey 的源的有效域。WebAuthn 的范围规则允许一个源设置一个等于其自身域或其可注册域后缀的 rpID

也就是说如果你讲rpID设置为example.com，那么实际上包含example.com和*.example.com（此处通配符*可以匹配多级域名而不是像TLS证书一样只能匹配一级）
利用这个机制，只需要rpID对应主机名是公网可以访问的，下级域名也就可以使用这个rpID来完成WebAuthn流程。

PVE域名和证书#

WebAuthn要求必须具有可信证书才能进行，所以需要配置好域名和证书

验证可行性#

通过公网主机pve.example.com访问，passkey可以正常注册和完成验证
通过内网主机local.pve.example.com访问，passkey可以完成验证但是提示401
查看network中对/api2/extjs/access/ticket进行POST请求的详情，状态200，请求体正常，响应体如下

1
{
2
    "status": "401",
3
    "data": null,
4
    "success": 0,
5
    "message": "authentication failure\n"
6
}

说明浏览器的源验证能通过，但是服务端的没有通过

修复问题#

尝试修改WebAuthn的源如下

• https://pve.example.com;https://local.pve.example.com
• https://pve.example.com;https://local.pve.example.com:8006
• https://pve.example.com:8006
  均不能按照预期工作，将配置还原

尝试将443端口上的请求转发到8006端口上

1
# ipv4
2
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8006
3
# ipv6
4
ip6tables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8006

访问local.pve.example.com（此次不带端口号走443），发现WebAuthn可以正常完成验证和注册
将端口转发规则持久化到pve中（当然也可以配置反代，但是十分不推荐在pve母鸡中安装任何多余的应用）
原地复制/etc/network/interfaces文件为interfaces.new并编辑interfaces.new，在母鸡网络出口虚拟网卡的iface字段后添加下面的内容（注意缩进）

1
# 443 TO 8006
2
# ipv4
3
        post-up iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8006
4
        post-down iptables -t nat -D PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8006
5
# ipv6
6
        post-up ip6tables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8006
7
        post-down ip6tables -t nat -D PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8006

然后在节点的网络选项中选择应用配置

参考资料#

[1]WebAuthn 关联源：跨域 Passkey 指南
[2]Web Authentication API
[3]Web Authentication API