Quando um cliente autentica um servidor, o servidor enviará a cadeia definida em SSLCertificateChainFile
, que é sua responsabilidade como administrador do servidor. Então, quando o cliente se identifica, também é responsável pelo envio de toda a cadeia. O Apache precisa apenas saber sobre o certificado de CA, que você define em SSLCACertificateFile
. Você pode, a seu critério, também definir cadeias aqui, o que tornará o Apache mais tolerante para os clientes que não enviarem as cadeias por conta própria.
Ao assinar certificados para usuários, verifique se o usuário é fornecido com a cadeia correta. Seu usuário pode construir um .p12 usando o seguinte comando OpenSSL:
openssl pkcs12 -export -in ${SIGNED_CERT} -inkey ${PRIVATE_KEY} \
-name ${USERNAME} -out ${OUTPUT_P12} -certfile ${PROVIDED_CHAIN}