Não creio que a licença para um certificado curinga permita usá-lo para assinar outros certificados. Você precisa ser uma autoridade de certificação para poder fazer isso.
Minha empresa comprou um certificado curinga de um fornecedor. Este certificado foi configurado com sucesso com o Apache 2.2 para proteger um subdomínio. Tudo no lado SSL funciona.
Agora, preciso gerar certificados do lado do cliente x509 para emitir para este subdomínio. Estou acompanhando esta página: ( link ), começando com "Criando certificados de cliente para autenticação ".
Gerei os arquivos p12 e os importei com sucesso para o Firefox. Quando eu navego para o site agora, recebo um erro no FireFox que diz "A conexão com o servidor foi redefinida enquanto a página estava sendo carregada".
Acho que meu problema está vindo de não assinar o lado do cliente corretamente. Quando assino o certificado no lado do cliente, estou usando o arquivo PEM (RapidSSL_CA_bundle.pem) da RapidSSL (de quem nós compramos o certificado) para o argumento -CA. Para o argumento -CAkey, estou usando a chave privada do servidor. Está correto?
O Apache provavelmente está redefinindo a conexão. Tente ver seus arquivos de log. Se você está no sistema * nix, isso deve estar em /var/log/apache/error.log
.
Use o openssl para visualizar o conteúdo do seu certificado gerado. Será então óbvio se a sua assinatura está funcionando corretamente.
openssl x509 -text -noout -in <yoursignedcert>
Se isso parecer correto e parecer ter um campo Emissor que reflita onde ele está assinado, tente usar o openssl para anexar ao seu servidor e ver o que ele está esperando.
openssl s_client -connect <host>:port -CAfile <yourtrustcert> -cert <yoursignedcert>
Isso deve dar algumas pistas sobre se o servidor está solicitando seu certificado ou não.
Tags security ssl openssl apache-2.2 x509