Noções básicas sobre a diretiva Apache SSLCACertificatePath

2

A documentação sobre esta diretiva afirma o seguinte:

The files in this directory have to be PEM-encoded and are accessed through hash filenames. So usually you can't just place the Certificate files there: you also have to create symbolic links named hash-value.N. And you should always make sure this directory contains the appropriate symbolic links.

Eu tenho duas perguntas sobre isso:

  • Prático: Para que serve a parte .N do nome do arquivo? Como decido qual valor devo dar?
  • Conceitual: Por que o Apache não verifica apenas o diretório especificado para arquivos de certificado? Estou sentindo falta de alguma propriedade que calcule e se lembre do hash de um certificado?
por Hans Westerbeek 27.02.2014 / 13:22

1 resposta

1
  • Prático : teoricamente, é possível que dois certificados diferentes possam ser divididos para o mesmo valor. Nesse caso, use a extensão para poder manter os dois certificados. Contanto que haja apenas um certificado usando esse hash, a extensão não importa e você pode escolher o dígito que desejar. (Eu não acredito que eu já vi alguém usar outra coisa senão um 0, mas não há nenhuma regra contra isso.)

  • Conceitual : o hash é baseado no nome do assunto do certificado. A finalidade de usá-lo em vez do nome do arquivo é que quando o programa (neste caso, o apache) precisa encontrar um certificado, ele pode solicitar o hash do nome do assunto do certificado em vez de manter uma tabela interna de qual arquivo contém qual nome de assunto do certificado.

man x509 e procurando por hash fornecerão um pouco mais de informações, mas não muito.

(Além disso, você não precisa ter links simbólicos - você também pode nomear o arquivo de certificado pelo seu nome de hash. Mas ter links simbólicos para "subjectname.pem" naturalmente facilitará para nós humanos descobrirem qual cert é qual.)

    
por 11.03.2014 / 14:04