신뢰할 수 있는 공식 CA에서 서명한 서버 인증서가 있는 SSL 아파치 웹 서버가 있습니다. 서버 인증서에 서명한 CA가 아닌 CA가 서명한 유효한 인증서가 있는 클라이언트를 허용하도록 Apache SSL을 구성할 수 있습니까?
ssl_error_unknown_ca_alertApache에서 다른 CA를 구성했고 서버가 오류 없이 시작되었는데도 오류 메시지가 나타납니다 . 서버 인증서에 서명한 CA의 CA 인증서와 신뢰하려는 CA의 다른 CA 인증서가 포함된 파일을 만들었습니다. 그런 다음 SSLCertificateChainFile이 파일에 대한 지시어를 지정했습니다 .
아파치 2.2.22를 사용하고 있습니다
편집하다:
나는 허용하려는 모든 인증서 체인이 있는 파일을 가리키는
SSLCertificateFile서버 인증서 에 서명한 인증서 체인
SSLCertificateKeyFile을 가리키는 서버 키를
SSLCertificateChainFile가리키는 서버 인증서를 가리키는 것을 사용하고 있습니다.
SSLCACertificateFile
SSLVerifyClient require
SSLVerifyDepth 1
Apache는 서버를 다시 시작할 때 로그에서 이를 모두 인식하며 오류는 없습니다. 그러나 여전히 ssl_error_certificate_unknown_alert오류가 발생했습니다. 또한 Meld의 텍스트 비교에 클라이언트 인증서 체인이 존재하는지 확인했습니다 SSLCACertificateFile.
답변1
문제가 무엇인지 알아냈습니다. 인증서는 3개의 CA 체인에 의해 서명되었으며 SSLVerifyDepth를 1로 설정했습니다. 이를 10으로 설정하면 작동했습니다.
답변2
나는 당신이 사용하려는 인증서가 포함된 디렉토리를 원한다고 생각합니다. 인증서에 대한 심볼릭 링크를 생성하려면 일부 SSL 매직을 사용해야 할 수도 있습니다. 보다mod_ssl SSLCACertificatePath 올바른 사용법 또는 허용되는 여러 클라이언트 인증서 CA를 처리하는 가장 좋은 방법은 무엇입니까?필요한 명령에 대해.