SSLCACertificatePath in httpd

Question

Sto cercando di utilizzare la direttiva SSLCACertificatePath in httpd per puntare a una raccolta di root e intermedi per la convalida del certificato client.

Sono in grado di utilizzare un file codificato PEM completo e concatenato senza alcuna difficoltà (utilizzando la direttiva SSLCACertificateFile), ma preferirei essere in grado di puntare a una directory anziché creare un file enorme.

Ho seguito le istruzioni riportate nel manuale di httpd (e documented here) incluso bollitore hash di tutti i file come segue:

1. Ha preso il mio file PEM gigante e dividere tutti i singoli certificati (circa 40 o giù di lì) utilizzando un comando di awk

2. per ogni file PEM, corse:

   openssl x509 -noout -hash -in NAME-OF-CA-FILE 
   

   per ottenere l'hash

3. creati i collegamenti simbolici ai file PEM denominati HASH.X (come fa0db041.0, fa0db041.1, ecc)

Quando indico httpd a quella directory, io finiscono per ottenere i seguenti errori quando ho tentare di eseguire la convalida del certificato client:

AH02039: Certificate Verification: Error (20): unable to get local issuer certificate 
AH02039: Certificate Verification: Error (19): self signed certificate in certificate chain 

Quindi è come se non si trovassero gli intermedi e le radici.

Ancora, tutto funziona quando si utilizza il PEM combinato.

Qualche consiglio?

Answer 1

Ti sei assicurato che il tuo processo di apache abbia il rigore di leggere i file nella cartella?

Quando si utilizza SSLCACertificateFile, il file viene caricato durante l'avvio di apache, con privilegi di root.

Quando si utilizza SSLCACertificatePath, i file non vengono caricati all'avvio.

Ho avuto lo stesso problema e l'impostazione corretta della cartella è stata risolta.