Apache-2.2
Apache 和 mod_ssl 為客戶端證書使用多個遠端 CA
通過成為您自己的具有 Apache Web 伺服器的 CA 來生成客戶端證書是一項微不足道的工作,並且有大量關於如何實現這一點的文件。我的問題略有不同。
我有幾個客戶想要擁有自己的 PKI 基礎設施。他們希望能夠生成自己的客戶端證書並撤銷它們。當他們訪問我們的網路服務時,我們的網路伺服器仍然負責授權他們。
任何人都可以加入我可以研究的一些可能的解決方案嗎?我看到 Apache 2.3 有一些與 SSLOCSP* 相關的指令(http://httpd.apache.org/docs/2.3/mod/mod_ssl.html),但我對使用 Apache 2.3 並不十分興奮,甚至更是如此,它看起來像SSLOCSP* 存在瀏覽器限制,我們正在處理不可接受的客戶端。
目前還沒有真正自動化的方法。
我
SSL*Path
個人並不是很熱衷於這些指令,因為它們可能很難維護。所以我們要做的是使用SSLCACertificateFile
,SSLCADNRequestFile
和SSLCARevocationFile
。然後是一些 Python 腳本來處理 CRL 更新,如下所示:
- 從 CRL 分發點(x509v3 擴展)獲取最新的 CRL。
- 根據 CA 證書的本地副本驗證 CRL 內容。
- 將新的 CRL 寫入磁碟。
- 對其他 CA 重複此操作。
- 優雅地重新啟動 Apache。
在這種情況下,您只需要從管理自己的 CA 的客戶端獲取 CA 證書和 CRL 分發點。