Клиентские сертификаты
Моя компания приобрела сертификат поставщика услуг. Этот сертификат был успешно настроен с Apache 2.2 для защиты поддоменов. Все на стороне SSL работает.
Теперь мне нужно сгенерировать клиентские сертификаты x509 для выдачи для этого субдомена. Я следую по этой странице: ( http://www.vanemery.com/Linux/Apache/apache-SSL.html), начиная с "Создание клиентских сертификатов для аутентификации".
Я сгенерировал файлы p12 и успешно импортировал их в Firefox. Когда я сейчас захожу на сайт, в Firefox появляется сообщение об ошибке "Соединение с сервером было сброшено во время загрузки страницы".
Я думаю, что моя проблема заключается в неправильной подписи на стороне клиента. Когда я подписываю сертификат на стороне клиента, я использую файл PEM (RapidSSL_CA_bundle.pem) из RapidSSL (у которого мы купили сертификат) для аргумента -CA. Для аргумента -CAkey я использую закрытый ключ сервера. Это правильно?
3 ответа
Я не думаю, что лицензия на подстановочный сертификат позволяет использовать его для подписи других сертификатов. Вы должны быть центром сертификации, чтобы иметь возможность сделать это.
Apache, вероятно, сбрасывает соединение. Попробуйте посмотреть ваши файлы журнала. Если вы используете систему *nix, это должно быть в /var/log/apache/error.log,
Используйте openssl для просмотра содержимого вашего сгенерированного сертификата. Тогда будет очевидно, если ваша подпись работает правильно.
openssl x509 -text -noout -in <yoursignedcert>
Если это выглядит нормально и, похоже, имеет поле Issuer, которое отражает, где оно подписано, попробуйте с помощью openssl подключиться к вашему серверу и посмотреть, чего он ожидает.
openssl s_client -connect <host>:port -CAfile <yourtrustcert> -cert <yoursignedcert>
Это должно дать некоторые подсказки относительно того, запрашивает ли сервер ваш сертификат или нет.