mod_ssl SSLCACertificatePath Utilisation appropriée ou quelle est la meilleure façon de gérer plusieurs autorités de certification de certificat client acceptables

9

J'essaie d'utiliser la directive mod_proxy SSLCACertificatePath, mais je suis un peu confus sur la façon de l'utiliser correctement.

Voici deux liens expliquant la directive SSLCACertificatePath:
http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath
http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13

Je ne suis pas sûr de la façon de créer les liens symboliques hachés. Le deuxième lien indique d'utiliser le fichier de création d'apache, mais je ne sais absolument pas ce qui se dit exactement là-bas.

Tout conseil amical serait grandement apprécié.

Merci pour votre temps.

MISE À JOUR

Le but de ma question était de comprendre comment gérer plusieurs autorités de certification pour valider les certificats clients des utilisateurs finaux. Je ne savais pas que plusieurs certificats pem pouvaient être utilisés dans un seul fichier, ce qui, dans mon cas, est clairement la bonne façon d'avancer.

hooknc
la source

Réponses:

5

Si vous ne savez pas comment créer les liens symboliques nommés par hachage, ma suggestion n'est pas d'utiliser CACertificatePath, mais plutôt d'utiliser à la CACertificateFileplace. (En fait, c'est ma suggestion en général: bien entretenir un CACertificateFile peut être un peu plus de travail si vous avez beaucoup de certificats CA qui changent souvent, mais vous ne devriez probablement pas avoir beaucoup de certificats CA, et ils ne devraient pas changer beaucoup de toute façon .. .) De plus, il semble que le Makefile référencé ait disparu des archives de distribution d'Apache (et le manque général de tollé public peut indiquer combien de personnes utilisent la méthode "path" de stockage des certificats :).

Cela dit, si vous voulez toujours le faire, vous pouvez procéder selon ce que DerfK a dit (soit récupérer l'ancien Makefile, soit écrire votre propre script / makefile qui s'exécute openssl x509 -noout -hashsur tous vos fichiers de certificat et crée des liens symboliques correctement nommés).

voretaq7
la source
Merci pour votre réponse. Malheureusement, nous allons avoir plusieurs certificats CA et ils changeront. Savez-vous comment avoir plusieurs certificats dans un seul fichier? Est-ce aussi simple que de couper et coller un certificat d'un fichier dans un autre fichier contenant tous les certificats?
hooknc
1
En fait, c'est aussi simple que de couper et coller - il y avait auparavant un ca-bundle.crtinclus avec mod_ssl dans les jours Apache 1.x (et toujours disponible sur certifie.com/ca-bundle/ca-bundle.crt.txt ). Pour votre santé mentale, je commenterais le fichier afin que vous puissiez dire quel bloc de certificat appartient à quelle autorité de certification si / quand vous devez les modifier plus tard.
voretaq7
Des nouvelles fantastiques. Nous allons très probablement aller de l'avant avec cette solution. Heureusement, quelqu'un d'autre sera chargé de générer ce fichier .crt. Merci encore pour votre temps.
hooknc
4

J'ai trouvé un bug ouvert à ce sujet. Outre le téléchargement de l'ancienne version de modssl.org mentionnée dans le bogue et l'obtention du Makefile à partir de celui-ci, il semble que vous pouvez obtenir la valeur du hachage openssl x509 -in foo.crt -noout -hashbien qu'il ne soit pas clair à quoi la partie ".N" fait référence (peut-être que c'était pour collisions de hachage (par exemple, le premier certificat avec le hachage 12345678 a un lien symbolique 12345678.1 pointant vers lui, le deuxième certificat qui a les mêmes utilisations de hachage .2? Ou peut-être qu'il commence par .0?)

Si vous obtenez le Makefile.crtfichier de l'ancien modssl, je pense que ce que vous feriez serait de le déposer dans le dossier avec tous vos certificats, puis de l'exécuter make -f Makefile.crtdans ce dossier.

DerfK
la source
Merci pour votre réponse. Le fait de pointer vers ce rapport de bogue a vraiment aidé. Voici le lien direct pour le téléchargement de la ressource mentionnée dans le bug: modssl.org/source/mod_ssl-2.8.31-1.3.41.tar.gz J'ai regardé le Makefile.crt et je crois que vous avez raison sur le schéma de numérotation, mais je ne suis pas très bon aux scripts * nix. <hash> .1, <hash> .2, <hash> .3, etc ... J'ai essayé d'utiliser les commandes que vous avez recommandées, puis le lien symbolique nommé hachage et tout semblait fonctionner. Je vais devoir essayer avec plusieurs fichiers CA maintenant.
hooknc
1
La numérotation commence par .0.
Raman
1
Voici le Makefiledéjà extrait du tar.gz: gist.github.com/rocketraman/9228a42b78e094b3c2218f6e57844ee0
Raman
L'exécution make -f Makefile.crtdans le dossier avec des certificats donne une Makefile.crt ... Skippederreur.
Serious