mod_ssl SSLCACertificatePath Uso adequado ou qual é a melhor maneira de lidar com várias CAs de certificado de cliente aceitáveis

Se você ainda não sabe como criar os links simbólicos com hash, minha sugestão é não para usar CACertificatePath , mas sim usar CACertificateFile . (Na verdade, esta é minha sugestão em geral: manter corretamente um CACertificateFile pode ser um pouco mais trabalhoso se você tiver vários certificados de CA que mudam com frequência, mas provavelmente você não deve ter muitos Certificados de autoridade de certificação e eles não devem alterar muito de qualquer forma ...) Além disso, parece que o Makefile referenciado desapareceu dos tarballs de distribuição do Apache (e a falta geral de clamor público pode indicar quantas pessoas estão usando o método "path" de armazenar certificados:).

Tudo o que disse, se você ainda quiser fazer isso, você pode prosseguir de acordo com o que o DerfK disse (obter o Makefile antigo ou escrever seu próprio script / makefile que executa openssl x509 -noout -hash em todos os seus arquivos de certificado e criar nomes links simbólicos).

Eu encontrei um bug aberto sobre isso. Além de baixar a versão antiga do modssl.org mencionada no bug e obter o Makefile dela, parece que você pode obter o valor do hash de openssl x509 -in foo.crt -noout -hash , embora não esteja claro a que a parte ".N" se refere (talvez isso foi para colisões de hash (por exemplo, primeiro certificado com hash 12345678 tem um link simbólico 12345678.1 apontando para ele, segundo certificado que tem o mesmo hash usa .2? Ou talvez comece com .0?)

Se você obtiver o arquivo Makefile.crt do modssl antigo, acredito que o que você faria é soltá-lo na pasta com todos os seus certificados e, em seguida, executar make -f Makefile.crt nessa pasta.