Opennssl 1.0.2 根據客戶端設定選擇證書

Opennssl 1.0.2 根據客戶端設定選擇證書

在一篇文章中,我讀到 Openssl 1.0.2 允許您根據客戶端設定選擇憑證。例如Windows XP早期的SP2不支援ECC憑證。對於該伺服器,將傳回一個憑證和適用於現代作業系統的其他憑證。

我找不到該技術的描述。有網頁伺服器支援嗎?

答案1

您在連結的文章中提到了這一點(此處已翻譯為英文):

OpenSSL 1.0.2 版本可讓您根據客戶端的參數選擇伺服器憑證。不幸的是,開箱即用的 Nginx 不允許對單一server.

這似乎指的是以下 OpenSSL 功能,1.0.2中添加

*) 新增憑證回呼。如果設置,每當客戶端或伺服器需要憑證時就會呼叫此函數。應用程式可以根據任意標準決定呈現哪個憑證鏈:例如支援的簽章演算法。在 s_server 中新增非常簡單的範例。這修復了現有用戶端憑證回呼的許多問題和限制:例如,您現在可以清除現有憑證並指定整個鏈。 [史蒂夫漢森]

到目前為止,我找不到任何證據表明 nginx 支援此功能,也沒有找到任何非官方補丁。快速瀏覽後,我也沒有找到任何與 Apache 或任何其他 Web 伺服器相關的內容。我確信它最終會被添加,但如果你真的很快需要它,我建議在 nginx 郵件列表上詢問。

相關內容