Https

基於客戶端設置的 Opennssl 1.0.2 證書選擇

  • September 30, 2015

在一篇文章中,我讀到 Openssl 1.0.2 允許您根據客戶端配置選擇證書。例如 Windows XP 早期 SP2 不支持 ECC 證書。因為此伺服器將返回一個證書和其他現代作業系統的證書。

我找不到這項技術的描述。是否有任何網路伺服器支持它?

您在連結的文章中指的是這一點(這裡,翻譯成英文):

OpenSSL 1.0.2 版允許您根據客戶端的參數選擇伺服器證書。不幸的是,開箱即用的 Nginx 不允許對單個server.

這似乎是指在 1.0.2 中添加的以下 OpenSSL 功能:

*) 添加證書回調。如果設置,只要客戶端或伺服器需要證書,就會呼叫它。應用程序可以根據任意標準決定呈現哪個證書鏈:例如支持的簽名算法。將非常簡單的範例添加到 s_server。這修復了現有客戶端證書回調的許多問題和限制:例如,您現在可以清除現有證書並指定整個鏈。

$$ Steve Henson $$

到目前為止,我找不到任何證據表明 nginx 支持此功能,也沒有任何非官方更新檔。快速瀏覽一下,我也沒有找到任何與 Apache 或任何其他 Web 伺服器相關的東西。我相信它最終會被添加,但如果你真的很快需要這個,我建議你在 nginx 郵件列表上詢問。

引用自:https://serverfault.com/questions/725696