Apache-2.2

Apache 和 mod_ssl 為客戶端證書使用多個遠端 CA

  • January 22, 2014

通過成為您自己的具有 Apache Web 伺服器的 CA 來生成客戶端證書是一項微不足道的工作,並且有大量關於如何實現這一點的文件。我的問題略有不同。

我有幾個客戶想要擁有自己的 PKI 基礎設施。他們希望能夠生成自己的客戶端證書並撤銷它們。當他們訪問我們的網路服務時,我們的網路伺服器仍然負責授權他們。

任何人都可以加入我可以研究的一些可能的解決方案嗎?我看到 Apache 2.3 有一些與 SSLOCSP* 相關的指令(http://httpd.apache.org/docs/2.3/mod/mod_ssl.html),但我對使用 Apache 2.3 並不十分興奮,甚至更是如此,它看起來像SSLOCSP* 存在瀏覽器限制,我們正在處理不可接受的客戶端。

目前還沒有真正自動化的方法。

SSL*Path個人並不是很熱衷於這些指令,因為它們可能很難維護。所以我們要做的是使用SSLCACertificateFile,SSLCADNRequestFileSSLCARevocationFile。然後是一些 Python 腳本來處理 CRL 更新,如下所示:

  1. 從 CRL 分發點(x509v3 擴展)獲取最新的 CRL。
  2. 根據 CA 證書的本地副本驗證 CRL 內容。
  3. 將新的 CRL 寫入磁碟。
  4. 對其他 CA 重複此操作。
  5. 優雅地重新啟動 Apache。

在這種情況下,您只需要從管理自己的 CA 的客戶端獲取 CA 證書和 CRL 分發點。

引用自:https://serverfault.com/questions/76846