apache - httpd中的SSLCACertificatePath

Question

我正在尝试使用httpd中的SSLCACertificatePath指令指向用于客户端证书验证的根和中间体的集合。

我可以毫无困难地使用完整的，串联的PEM编码文件（使用SSLCACertificateFile指令），但是我希望能够指向目录，而不是构建一个大文件。

我遵循了httpd手册（和documented here）中的说明，包括如下对所有文件进行哈希处理：


拿起我的巨型pem文件，并使用awk命令分割出所有单个证书（大约40个左右）
对于每个pem文件，运行：

openssl x509 -noout -hash -in NAME-OF-CA-FILE

得到哈希
创建指向名为HASH.X的pem文件的符号链接（例如fa0db041.0，fa0db041.1等）


当我将httpd指向该目录时，尝试进行客户端证书验证时最终遇到以下错误：

AH02039: Certificate Verification: Error (20): unable to get local issuer certificate
AH02039: Certificate Verification: Error (19): self signed certificate in certificate chain

这就好像没有找到中间体和根。

同样，当使用组合式PEM时，所有这些都适用。

有什么建议吗？

Answer 1

您是否确定apache进程具有读取文件夹中文件的权限？

当您使用SSLCACertificateFile时，该文件将在Apache启动期间以root用户特权加载。

使用SSLCACertificatePath时，在启动过程中不会加载文件。

我遇到了同样的问题，并且在文件夹上设置正确的rigth解决了该问题。