Vorrei chiedere se è possibile utilizzare CA diverse per il certificato client e il certificato Web?
Ad esempio, vorrei utilizzare Verisign per firmare il mio certificato Web mentre utilizzo il certificato Self Sign per il certificato client. Sono solo preoccupato che ho bisogno di pagare una CA per ogni nuovo certificato client che vorrei registrare.
Come lo si imposta nel server Apache? È possibile? Devo impostare SSLCACertificateFile?
Il certificato del server viene inviato dal server, per essere convalidato dal client. Il certificato client viene inviato dal client, per essere convalidato dal server. Vivono in mondi diversi e non hanno alcun bisogno di relazionarsi con la stessa autorità di certificazione.
Per la convalida del certificato client con Apache, vedere questa documentazione . Il server dovrà convalidare il certificato client per quanto riguarda alcune CA attendibili; utilizzi SSLCACertificateFile o SSLCACertificatePath per configurare questi CA. È possibile anche inserire direttamente un certificato client specifico (chiamato "trust diretto"). Probabilmente vorrai aggiungere una clausola SSLRequire : convalidare un certificato è buono e allegro, ma spesso vuoi concedere l'accesso a uno specifico client , come in "utente umano", non solo a nessuno chi potrebbe ottenere un certificato da una determinata CA. Il certificato, una volta convalidato, ti dà una certa garanzia che l'identità del cliente è realmente quella specificata nel certificato, ma è comunque a tua discrezione se un'identità specifica debba essere accettata o meno; e SSLRequire è lo strumento principale per configurarlo.
Leggi altre domande sui tag apache tls certificates certificate-authority