한 기사에서 Openssl 1.0.2를 사용하면 클라이언트 구성에 따라 인증서를 선택할 수 있다는 내용을 읽었습니다. 예를 들어 Windows XP 초기 SP2는 ECC 인증서를 지원하지 않습니다. 이 서버의 경우 최신 OS에 대한 인증서 하나와 다른 인증서를 반환합니다.
이 기술에 대한 설명을 찾을 수 없습니다. 이를 지원하는 웹 서버가 있나요?
답변1
링크된 기사(여기서는 영어로 번역됨)에서 이 부분을 언급하고 있습니다.
OpenSSL 버전 1.0.2를 사용하면 클라이언트 매개변수를 기반으로 서버 인증서를 선택할 수 있습니다. 불행하게도 Nginx는 단일
server.
이는 다음 OpenSSL 기능을 참조하는 것으로 보입니다.1.0.2에 추가됨:
*) 인증서 콜백을 추가합니다. 설정된 경우 클라이언트나 서버에서 인증서가 필요할 때마다 호출됩니다. 애플리케이션은 임의의 기준(예: 지원되는 서명 알고리즘)을 기반으로 어떤 인증서 체인을 제공할지 결정할 수 있습니다. s_server에 매우 간단한 예제를 추가합니다. 이는 기존 클라이언트 인증서 콜백의 많은 문제와 제한 사항을 해결합니다. 예를 들어 이제 기존 인증서를 지우고 전체 체인을 지정할 수 있습니다. [스티브 헨슨]
지금까지 nginx가 이 기능을 지원한다는 증거나 비공식 패치를 찾을 수 없습니다. 또한, 잠깐 살펴보면 Apache나 다른 웹 서버와 관련된 어떤 것도 찾지 못했습니다. 결국에는 추가될 것이라고 확신하지만, 이것이 곧 필요하다면 nginx 메일링 리스트에 문의하는 것이 좋습니다.