mod_ssl SSLCACertificatePath Utilizzo corretto o Qual è il modo migliore per gestire più certificati CA certificati client

Sto tentando di utilizzare la direttiva mod_proxy SSLCACertificatePath, ma sono un po 'confuso su come utilizzarlo correttamente.

Ecco due collegamenti che spiegano la direttiva SSLCACertificatePath:
http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath
http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13

Non sono positivo su come creare i collegamenti simbolici distinti. Il secondo collegamento indica che utilizza il file apache, ma sono abbastanza indifeso di ciò che esattamente viene detto lì.

Qualsiasi amicizia amichevole sarebbe molto apprezzata.

Grazie per il tuo tempo.

AGGIORNARE

L'objective della mia domanda era quello di capire come gestire più CA per la validation dei certificati client di utente finale. Non mi sono accorto che molti certificati pem potrebbero utilizzare in un unico file, il che, nel mio caso, è chiaramente il modo giusto per andare avanti.

  • Il server Web ripristina la richiesta postuale in modo random quando si supera l'SSL
  • AWS MySQL ERROR 2026 (HY000): errore di connessione SSL:
  • SSL / HTTPS all'interno di un stream di lavoro Amazon ELB
  • Recompiling python con supporto SSL su ubuntu
  • Quale nome host dovrebbe contenere il certificato SSL per un server SMTP?
  • Manca l'intervallo di intestazione "400": 'con Apache e SSL
  • Il sito utilizza impostazioni di protezione obsolete che potrebbero impedire alle versioni future di Chrome di accedere in modo sicuro
  • Perché il formato di nginx $ ssl_client_i_dn è improvvisamente cambiato?
  • 2 Solutions collect form web for “mod_ssl SSLCACertificatePath Utilizzo corretto o Qual è il modo migliore per gestire più certificati CA certificati client”

    Se non si è chiari come rendere i symlinks denominati hash, il mio suggerimento non è utilizzare CACertificatePath , ma piuttosto utilizzare CACertificateFile . (In realtà questo è il mio suggerimento in generale: mantenere correttamente un CACertificateFile può essere leggermente più lavoro se si dispone di un sacco di certificati CA che cambiano spesso, ma probabilmente non dovresti avere molti certificati CA e non dovrebbero cambiare molto comunque. ..) Inoltre sembra che il referente Makefile sia scomparso dalle tarballs di distribuzione di Apache (e la generale mancanza di pubbliche risentimento può indicare quante persone utilizzano il metodo "path" per la memorizzazione dei certificati :).

    Tutto quello che ha detto, se ancora vuoi farlo puoi procedere per quello che DerfK ha detto (o get il vecchio Makefile o scrivere il tuo script / makefile che esegue openssl x509 -noout -hash contro tutti i tuoi file di certificati e crea correttamente nome collegamenti simbolici).

    Ho trovato un bug aperto per questo. Oltre a scaricare il vecchio modssl.org rilasciato nel bug e get il Makefile da esso, sembra che tu possa get il valore della hash da openssl x509 -in foo.crt -noout -hash anche se non è chiaro quale sia il " (Forse questo è stato per i collisioni di hash (ad esempio, prima cert con hash 12345678 ha un simbolo 12345678.1 che indica ad esso, secondo cert che ha gli stessi usi hash .2 o forse inizia con .0?)

    Se ottieni il file Makefile.crt dal vecchio modssl, credo che quello che faresti è lasciarlo nella cartella con tutti i tuoi certificati, quindi eseguire make -f Makefile.crt in quella cartella.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.