Apache 和 mod_ssl 為客戶端證書使用多個遠端 CA

通過成為您自己的具有 Apache Web 伺服器的 CA 來生成客戶端證書是一項微不足道的工作，並且有大量關於如何實現這一點的文件。我的問題略有不同。

我有幾個客戶想要擁有自己的 PKI 基礎設施。他們希望能夠生成自己的客戶端證書並撤銷它們。當他們訪問我們的網路服務時，我們的網路伺服器仍然負責授權他們。

任何人都可以加入我可以研究的一些可能的解決方案嗎？我看到 Apache 2.3 有一些與 SSLOCSP* 相關的指令（http://httpd.apache.org/docs/2.3/mod/mod_ssl.html），但我對使用 Apache 2.3 並不十分興奮，甚至更是如此，它看起來像SSLOCSP* 存在瀏覽器限制，我們正在處理不可接受的客戶端。

目前還沒有真正自動化的方法。

我SSL*Path個人並不是很熱衷於這些指令，因為它們可能很難維護。所以我們要做的是使用SSLCACertificateFile,SSLCADNRequestFile和SSLCARevocationFile。然後是一些 Python 腳本來處理 CRL 更新，如下所示：

1. 從 CRL 分發點（x509v3 擴展）獲取最新的 CRL。
2. 根據 CA 證書的本地副本驗證 CRL 內容。
3. 將新的 CRL 寫入磁碟。
4. 對其他 CA 重複此操作。
5. 優雅地重新啟動 Apache。

在這種情況下，您只需要從管理自己的 CA 的客戶端獲取 CA 證書和 CRL 分發點。

引用自：https://serverfault.com/questions/76846