我有以下证书层次结构。我需要在 Apache 上进行客户端身份验证。
.
??? root (CA) - self signed
??? intermediate 1 (CA)
| ??? client1
| ??? client2
??? intermediate 2 (CA)
??? client3
??? client4
谁应该存储中间证书(客户端或服务器)?
我宁愿只在服务器上存储一个根 CA 来验证所有客户端证书。主要原因是中间 CA 的列表可以增长,我不想更新存储在 Apache 配置中的所有时间证书。
这在技术上可行吗?SSL 协议是否要求客户端发送整个链?
关于这个问题的一个想法。据我了解,当客户端对服务器进行身份验证时,服务器会将整个链发送给客户端。我希望它是对称的,当服务器需要对客户端进行身份验证时,发送整个链是客户端的责任。
certificate ssl-certificate certificate-authority apache-2.2