Apache Django Mod_Wsgi - 自动重新加载应用程序

Question

David Balažic

Asked: 2019-08-17 01:59:25 +0800 CST2019-08-17 01:59:25 +0800 CST 2019-08-17 01:59:25 +0800 CST

SSLVerifyDepth 解释

772

是否有全面的解释证书链验证在 apache httpd 中究竟是如何工作的，以及 SSLVerifyDepth 参数究竟是如何影响它的？可能是伪代码。

大多数参考文献只是随便提及它。

2 个回答

Voted

HBruijn · Answer 1 · 2019-08-17T03:37:45+08:00

HBruijn

2019-08-17T03:37:45+08:002019-08-17T03:37:45+08:00

https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslverifydepth

...深度实际上是中间证书颁发者的最大数量，即在验证客户端证书时允许遵循的最大 CA 证书的数量。
深度 0 表示仅接受自签名客户端证书，
默认深度 1 表示客户端证书可以自签名或必须由服务器直接知道的 CA 签名（即 CA 的证书是SSLCACertificatePath 下）等。

深度为 2 意味着由（单级）中间 CA 签名的证书被接受，即由中间 CA，其 CA 证书由服务器直接知道的 CA 签名。

3

David Balažic · Answer 2 · 2019-08-17T07:01:13+08:00

根据我的测试（请参阅此评论）和此答案，apache 中的证书链验证如下所示：

current_certificate := client_certificate_from_request
current_depth := 0
LOOP
  if current_certificate IS self-signed (ie. root)
    if current_certificate IS IN SSLCACertificateFile
      THEN RETURN true // cert is accepted as valid
      ELSE RETURN false // validation failed
    end if
  end if

  current_certificate := current_certificate.getIssuer()
  current_depth += 1
  if current_depth > SSLVerifyDepth
    THEN RETURN false // validation failed
END LOOP // repeat

用一句话来说：

最终的根证书必须在 SSLCACertificateFile 中（或者在 SSLCACertificatePath 中），否则客户端证书无效。SSLVerifyDepth 参数限制了链将 apache 看起来多远。如果达到限制，则拒绝证书。

SSLCACertificateFile 中列出的中间证书仅影响构建链（例如，当客户端未发送完整链时，因此如果没有 SSLCACertificateFile 中列出的那些，apache httpd 将无法到达根证书），但有效性仅取决于SSLCACertificateFile 中是否存在根证书。

SSLVerifyDepth 解释

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

SSLVerifyDepth 解释

2 个回答

相关问题