SSLVerifyClient não funciona no contexto do diretório

Navegue suas respostas
1

De acordo com a documentação do Apache sobre SSLVerifyClient , pode-se definir seu valor no contexto do Diretório . No entanto, a seguinte configuração não está funcionando: 

<IfModule mod_ssl.c>
  <VirtualHost _default_:443>
    ...

    DocumentRoot /var/www/projects

    SSLEngine on
    SSLCipherSuite HIGH:MEDIUM:-SSLv2
    SSLCertificateFile    /etc/ssl/certs/dev.example.com_self.crt
    SSLCertificateKeyFile /etc/ssl/private/dev.example.com_self.key
    SSLVerifyClient none
    SSLVerifyDepth 2

    <Directory "/var/www/projects/projectA/">
      SSLCACertificateFile "/etc/ssl/certs/ACRAIZ-SHA2.crt"
      SSLVerifyClient require
    </Directory>

    ...

  </VirtualHost>
</IfModule>

Se eu solicitar o link , o valor none será definido. Mas se eu tentar o link , o Apache não leva em conta o valor require , mas mantém none .

Eu tenho algo errado na minha configuração ou está relacionado às regras de análise do Apache?

Obrigado

    
por elitalon 28.09.2011 / 11:24

1 resposta

2

Tente mover seu SSLCACertificateFile para fora do bloco <Directory> - o diretório não é um contexto válido para essa configuração.

Existe alguma outra configuração no seu vhost (digamos, um <Location> ) ou possivelmente .htaccess arquivos que poderiam estar definindo seus próprios SSLVerifyClient none ? Essas configurações podem ter precedência sobre o bloco de diretório.

Ah, e não tenho certeza se esse é um requisito para SSLCACertificateFile , mas faço uma reinicialização completa (não apenas um recarregamento) depois de obter essa configuração no lugar certo. O mod_ssl é complicado em pegar novos arquivos de certificado em uma recarga.

    
por 28.09.2011 / 20:27

Tags

Como analisar as chamadas do sistema quando o disco está em somente leitura e a saída strace é “Erro no barramento”? Migrando o Active Directory de um nome de domínio interno não-RFC