通过成为您自己的具有 Apache Web 服务器的 CA 来生成客户端证书是一项微不足道的工作,并且有大量关于如何实现这一点的文档。我的问题略有不同。
我有几个客户想要拥有自己的 PKI 基础设施。他们希望能够生成自己的客户端证书并撤销它们。当他们访问我们的网络服务时,我们的网络服务器仍然负责授权他们。
任何人都可以加入我可以研究的一些可能的解决方案吗?我看到 Apache 2.3 有一些与 SSLOCSP* 相关的指令(http://httpd.apache.org/docs/2.3/mod/mod_ssl.html),但我对使用 Apache 2.3 并不完全兴奋,甚至更是如此,它看起来像SSLOCSP* 存在浏览器限制,我们正在处理不可接受的客户端。
目前还没有真正自动化的方法。
我
SSL*Path个人并不是很热衷于这些指令,因为它们可能很难维护。所以我们要做的是使用SSLCACertificateFile,SSLCADNRequestFile和SSLCARevocationFile。然后是一些 Python 脚本来处理 CRL 更新,如下所示:在这种情况下,您只需要从管理自己的 CA 的客户端获取 CA 证书和 CRL 分发点。
假设您乐于信任他们的 CA 签署的每个证书,那么您应该能够使用
SSLCACertificatePath和SSLVerifyClient require验证您的客户端。这确实意味着您无法知道何时应该拒绝撤销的证书。Apache 2.2 确实有一个SSLCARevocationPath选项可以让您将 CRL 文件放入其中。这将需要您定期同步您的 CRL 文件。更新的频率取决于同步需要多长时间以及证书被吊销后您乐于接受的时间。如果同步所需的时间比您满意的要长,那么这种方法将不起作用。如果您真的需要实时检查您的证书,那么您可能必须等到 Apache 2.4 发布。http://www.apacheweek.com/features/crl似乎提供了有关如何正确设置的更多详细信息。
关于OCSP,你需要浏览器支持吗?据推测,如果您只检查客户端证书是否有效,则只有服务器需要支持 OCSP。