SSLCACertificatePath w httpd

Question

Próbuję użyć dyrektywy SSLCACertificatePath w httpd, aby wskazać kolekcję korzeni i produktów pośrednich do sprawdzania poprawności certyfikatu klienta.

Jestem w stanie użyć pełnego, konkatenowanego pliku z kodem PEM bez żadnych trudności (używając dyrektywy SSLCACertificateFile), ale wolałbym wskazywać na katalog zamiast budować jeden ogromny plik.

Śledzę z instrukcjami zawartymi w podręczniku httpd (i documented here), w tym dokonywania skrótów wszystkich plików w następujący sposób:

1. Wziąłem moją gigantyczną plik PEM i podzielić się wszystkie indywidualne certyfikaty (około 40 lub tak) stosując awk polecenie

2. dla każdego pliku pem, prowadził:

   openssl x509 -noout -hash -in NAME-OF-CA-FILE 
   

   uzyskać hash

3. Utworzony linki SYM do plików PEM nazwanych HASH.X (jak fa0db041.0, fa0db041.1, etc.)

Kiedy wskazują httpd do tego katalogu, to w końcu się następujące błędy kiedy próba dokonania walidacji certyfikatu klienta:

AH02039: Certificate Verification: Error (20): unable to get local issuer certificate 
AH02039: Certificate Verification: Error (19): self signed certificate in certificate chain 

To tak, jakby nie znajdowało półproduktów i korzeni.

Ponownie, to wszystko działa, gdy używana jest kombinacja PEM.

Każda rada?

Answer 1

Czy upewniłeś się, że twój proces apache ma uprawnienia do odczytu plików w folderze?

Podczas korzystania z SSLCACertificateFile plik jest ładowany podczas uruchamiania apache z uprawnieniami root.

Podczas korzystania z SSLCACertificatePath pliki nie są ładowane podczas uruchamiania.

Miałem ten sam problem i ustawienie prawidłowych prawidłowości w folderze rozwiązało problem.