Sto creando un endpoint API che riceve il payload da una terza parte. La terza parte sta firmando la richiesta con il certificato X509 (chiave privata). Mi è stato fornito il loro certificato pubblico. Come posso verificare che la richiesta in entrata abbia una firma valida utilizzando il certificato pubblico che ho tramite Apache?
Ho provato alcune delle cose che non funzionano:
- Ho mantenuto SSLVerifyClient richiesto insieme a SSLVerifyDepth 10 nella configurazione httpd di Apache, quindi mantenuto il loro certificato client nell'archivio attendibile.
- Ho mantenuto SSLOptions + ExportCertData e ho verificato la SSL_CLIENT_CERT Variabile d'ambiente alla fine dell'applicazione se sto ottenendo il certificato client nella richiesta che sto ricevendo. Sebbene la variabile Ambiente non abbia alcun certificato in esso.
Come posso verificare la richiesta firmata? Per favore, guidami se sto cercando una direzione sbagliata per verificare la Richiesta.