J'essaie d'utiliser la directive mod_proxy SSLCACertificatePath, mais je suis un peu confus sur la façon de l'utiliser correctement.
Voici deux liens expliquant la directive SSLCACertificatePath:
http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath
http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13
Je ne suis pas sûr de la façon de créer les liens symboliques hachés. Le deuxième lien indique d'utiliser le fichier de création d'apache, mais je ne sais absolument pas ce qui se dit exactement là-bas.
Tout conseil amical serait grandement apprécié.
Merci pour votre temps.
MISE À JOUR
Le but de ma question était de comprendre comment gérer plusieurs autorités de certification pour valider les certificats clients des utilisateurs finaux. Je ne savais pas que plusieurs certificats pem pouvaient être utilisés dans un seul fichier, ce qui, dans mon cas, est clairement la bonne façon d'avancer.
la source
ca-bundle.crt
inclus avec mod_ssl dans les jours Apache 1.x (et toujours disponible sur certifie.com/ca-bundle/ca-bundle.crt.txt ). Pour votre santé mentale, je commenterais le fichier afin que vous puissiez dire quel bloc de certificat appartient à quelle autorité de certification si / quand vous devez les modifier plus tard.J'ai trouvé un bug ouvert à ce sujet. Outre le téléchargement de l'ancienne version de modssl.org mentionnée dans le bogue et l'obtention du Makefile à partir de celui-ci, il semble que vous pouvez obtenir la valeur du hachage
openssl x509 -in foo.crt -noout -hash
bien qu'il ne soit pas clair à quoi la partie ".N" fait référence (peut-être que c'était pour collisions de hachage (par exemple, le premier certificat avec le hachage 12345678 a un lien symbolique 12345678.1 pointant vers lui, le deuxième certificat qui a les mêmes utilisations de hachage .2? Ou peut-être qu'il commence par .0?)Si vous obtenez le
Makefile.crt
fichier de l'ancien modssl, je pense que ce que vous feriez serait de le déposer dans le dossier avec tous vos certificats, puis de l'exécutermake -f Makefile.crt
dans ce dossier.la source
.0
.Makefile
déjà extrait du tar.gz: gist.github.com/rocketraman/9228a42b78e094b3c2218f6e57844ee0make -f Makefile.crt
dans le dossier avec des certificats donne uneMakefile.crt ... Skipped
erreur.