hoo*_*knc 9 ssl mod-ssl apache-2.2
我正在尝试使用 mod_proxy SSLCACertificatePath 指令,但我对如何正确使用它有点困惑。
这里有两个解释 SSLCACertificatePath 指令的链接:
http : //httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath
http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13
我对如何创建散列符号链接并不乐观。第二个链接声明使用 apache make 文件,但我对那里所说的内容一无所知。
任何友好的指导将不胜感激。
感谢您的时间。
更新
我的问题的目标是弄清楚如何处理多个 CA 以验证最终用户客户端证书。我没有意识到一个文件中可以使用多个 pem 证书,在我的情况下,这显然是前进的正确方法。
我发现了一个与此相关的开放错误。除了下载 bug 中提到的旧 modssl.org 版本并从中获取 Makefile 之外,似乎您还可以从中获取哈希值,openssl x509 -in foo.crt -noout -hash尽管不清楚“.N”部分指的是什么(也许这是为了哈希冲突(例如,哈希值为 12345678 的第一个证书有一个指向它的符号链接 12345678.1,具有相同哈希值的第二个证书使用 .2?或者可能以 .0 开头?)
如果您Makefile.crt从旧的 modssl 获取该文件,我相信您要做的就是将其放入包含所有证书的文件夹中,然后make -f Makefile.crt在该文件夹中运行。
如果您不清楚如何制作以哈希命名的符号链接,我的建议是不要使用CACertificatePath,而是使用CACertificateFile。(实际上,这是我的一般建议:CACertificateFile 如果您有很多经常更改的 CA 证书,则正确维护一个可能会稍微多一些工作,但是您可能不应该拥有很多 CA 证书,而且它们也不应该有太大变化。 .) 此外,似乎引用的 Makefile 已经从 Apache 的发行版 tarball 中消失了(公众普遍缺乏抗议可能表明有多少人正在使用存储证书的“路径”方法:)。
综上所述,如果您仍然想这样做,您可以按照 DerfK 所说的进行操作(获取旧的 Makefile,或者编写您自己的脚本/makefile 来运行openssl x509 -noout -hash您的所有证书文件并创建适当命名的符号链接)。
| 归档时间: |
|
| 查看次数: |
14651 次 |
| 最近记录: |