gpt4 book ai didi

apache - 如何使用第三方 CA-NOT 自签名 CA 生成客户端证书

转载 作者:行者123 更新时间:2023-12-01 12:01:27 28 4
gpt4 key购买 nike

我正在尝试导出客户端证书以供网络浏览器使用。

目标是使用 指令限制对管理区域的访问。我看过很多关于使用自签名 CA 的教程。你会如何使用第三方来做到这一点?

1) 如果它是受信任的根 CA,我是否需要在客户端 pfx 中包含 CA?这两个例子我都见过。

没有CA:

openssl pkcs12 -export -inkey KEYFILENAME -in CERTFILEFILENAME -out XXX.pfx

与CA:

openssl pkcs12 -export  -in my.crt- inkey my.key -certfile my.bundle -out my.pfx

2) 我是否仍需要在 httpd.conf 设置中包含受信任 CA 的 SSLCACertificateFile?

SSLVerifyClient none
SSLCACertificateFile conf/ssl.crt/ca.crt
<Location /secure/area>
SSLVerifyClient require
SSLVerifyDepth 1
</Location>

http://www.modssl.org/docs/2.8/ssl_howto.html#ToC8

最佳答案

您不能使用第三方 CA 签名证书颁发客户端证书。您必须拥有自签名 CA 才能颁发客户端证书,并将此 CA 指定为 SSLCACertificateFile

示例:

    SSLCertificateFile /etc/apache2/ssl/apache.cer # site certificate signed by verisign
SSLCertificateKeyFile /etc/apache2/ssl/apache.key # site key for certificate signed by verisign
SSLCACertificateFile /etc/apache2/ssl/apachelca2.pem # your self signed CA

请注意,apachelca2.pem 中同时包含 key 和证书...颁发客户端证书的命令行:

openssl req -config /usr/share/apache2/ssleay.cnf -new -key client.key -out client.csr

openssl x509 -req -days 365 -CA /etc/apache2/ssl/apachelca2.pem -CAkey /etc/apache2/ssl/apachelca2.pem -CAcreateserial -in client.csr -extfile /usr/share/apache2/ssleay.cnf -extensions v3_req -out client.crt

关于apache - 如何使用第三方 CA-NOT 自签名 CA 生成客户端证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/940262/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com