基於客戶端設置的 Opennssl 1.0.2 證書選擇

在一篇文章中，我讀到 Openssl 1.0.2 允許您根據客戶端配置選擇證書。例如 Windows XP 早期 SP2 不支持 ECC 證書。因為此伺服器將返回一個證書和其他現代作業系統的證書。

我找不到這項技術的描述。是否有任何網路伺服器支持它？

您在連結的文章中指的是這一點（這裡，翻譯成英文）：

OpenSSL 1.0.2 版允許您根據客戶端的參數選擇伺服器證書。不幸的是，開箱即用的 Nginx 不允許對單個server.

這似乎是指在 1.0.2 中添加的以下 OpenSSL 功能：

*) 添加證書回調。如果設置，只要客戶端或伺服器需要證書，就會呼叫它。應用程序可以根據任意標準決定呈現哪個證書鏈：例如支持的簽名算法。將非常簡單的範例添加到 s_server。這修復了現有客戶端證書回調的許多問題和限制：例如，您現在可以清除現有證書並指定整個鏈。

$$ Steve Henson $$

到目前為止，我找不到任何證據表明 nginx 支持此功能，也沒有任何非官方更新檔。快速瀏覽一下，我也沒有找到任何與 Apache 或任何其他 Web 伺服器相關的東西。我相信它最終會被添加，但如果你真的很快需要這個，我建議你在 nginx 郵件列表上詢問。

引用自：https://serverfault.com/questions/725696