Eseguo un servizio Web HTTPS. I client si autenticano utilizzando un certificato client TLS. Come configurare un server Web Linux standard (preferibilmente Apache) per convalidare i certificati client rispetto ai loro CRL?
Il certificato client è emesso da una CA di terze parti. Tutti i certificati includono il punto di distribuzione CRL, ma non supportano OCSP.
Ho pensato che sarebbe stato semplice. Ma non posso scaricare tutti i CRL in anticipo, il che è ciò che Apache sembra volere. Questo perché la CA di terze parti utilizza un certificato intermedio per emettere i certificati dell'entità finale e non ho un elenco di tutte quelle CA intermedie - la prima che saprò è quando un client si connette. Ogni CA intermedia ha il proprio CRL. Quindi devo scaricare il CRL quando il client si connette, non prima.
Qualunque server Web ragionevolmente disponibile supporta questo?
(Modifica per aggiungere: Sembra che IIS su Windows supporti questo: link . Così ogni server Web Linux supporta questo o devo usare Windows?)