mod_ssl এসএসএলসিএর প্রমাণীকরণপথ যথাযথ ব্যবহার বা একাধিক গ্রহণযোগ্য ক্লায়েন্ট শংসাপত্র সিএ হ্যান্ডেল করার সর্বোত্তম উপায় কী

আমি মোড_প্রক্সি এসএসএলসিএরসিটিফিকেটপথ নির্দেশিকাটি ব্যবহার করার চেষ্টা করছি, তবে কীভাবে এটি সঠিকভাবে ব্যবহার করতে হয় সে সম্পর্কে আমি কিছুটা বিভ্রান্ত।

এসএসএলসিএরসিটিটিফিটপথ নির্দেশনার ব্যাখ্যা এখানে দুটি লিঙ্ক:
http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath
http://www.modssl.org/docs/2.8/ssl_references.html#ToC13

হ্যাশ প্রতীকী লিঙ্কগুলি কীভাবে তৈরি করা যায় সে সম্পর্কে আমি ইতিবাচক নই। দ্বিতীয় লিঙ্কটি অ্যাপাচি মেক ফাইলটি ব্যবহার করার কথা জানিয়েছে, তবে সেখানে ঠিক কী বলা হচ্ছে সে সম্পর্কে আমি বেশ নিখুঁত।

যে কোনও বন্ধুত্বপূর্ণ দিকনির্দেশনা প্রশংসিত হবে।

সময় দেয়ার জন্য ধন্যবাদ.

হালনাগাদ

আমার প্রশ্নের লক্ষ্যটি ছিল শেষ ব্যবহারকারী ক্লায়েন্ট শংসাপত্রগুলি বৈধ করার জন্য কীভাবে একাধিক সিএ পরিচালনা করতে হয়। আমি বুঝতে পারি নি যে একাধিক পেম শংসাপত্রগুলি একটি ফাইলে ব্যবহার করা যেতে পারে, যা আমার ক্ষেত্রে পরিষ্কারভাবে এগিয়ে যাওয়ার সঠিক উপায় is

তুমি কেমন হ্যাশ নামক symlinks আমার পরামর্শ করতে অনুগ্রহ করে উপর অস্পষ্ট হন না ব্যবহার CACertificatePath, বরং ব্যবহার করতে CACertificateFileপরিবর্তে। (আসলে এটি আমার সাধারণ পরামর্শ: CACertificateFile আপনার যদি প্রচুর সিএ শংসাপত্রগুলি প্রায়শই পরিবর্তন হয় তবে সঠিকভাবে বজায় রাখা কিছুটা বেশি কাজ হতে পারে তবে আপনার কাছে সম্ভবত প্রচুর সিএ শংসাপত্র থাকা উচিত নয়, এবং সেগুলি তেমন কোনও পরিবর্তন করা উচিত নয় ..) ।) এ ছাড়াও এটি উপস্থিত হয় যে মেকফিল রেফারেন্সযুক্ত অ্যাপাচি এর বিতরণ টারবলগুলি থেকে অদৃশ্য হয়ে গেছে (এবং জনসাধারণের এই হাহাকারের সাধারণ অভাবই ইঙ্গিত দিতে পারে যে কতজন লোক শংসাপত্র সংরক্ষণের "পথ" পদ্ধতি ব্যবহার করছে :) :)

যা যা বলেছিল, আপনি এখনও এটি করতে চাইলে ডার্মফেকে যা বলেছিলেন তা অনুযায়ী আপনি এগিয়ে যেতে পারেন (হয় পুরানো মেকফিলটি পান, অথবা আপনার নিজের openssl x509 -noout -hashশংসাপত্র / মেকফিল লিখুন যা আপনার সমস্ত শংসাপত্রের ফাইলগুলির বিরুদ্ধে চলে এবং যথাযথ-নামযুক্ত প্রতীকী লিঙ্ক তৈরি করে)।

আমি এটি সম্পর্কে একটি খোলা বাগ খুঁজে পেয়েছি । পুরানো modssl.org রিলিজটি বাগে উল্লিখিত ডাউনলোড করা এবং এটি থেকে মেকফিল পাওয়া বাদে মনে হয় আপনি "হ'ল হ্যাশটির মান পেতে পারেন openssl x509 -in foo.crt -noout -hashতবে" .এন "অংশটি কী বোঝায় তা পরিষ্কার নয় (সম্ভবত এটি এর জন্য ছিল হ্যাশের সংঘর্ষ (উদাহরণস্বরূপ হ্যাশ 12345678 এর সাথে প্রথম সারিতে একটি সিএমিলিং রয়েছে 12345678.1 এটি নির্দেশ করে, দ্বিতীয় সার্টে একই হ্যাশ ব্যবহার করে .2? অথবা এটি শুরু হতে পারে .0?)

আপনি যদি Makefile.crtপুরানো মডেল থেকে ফাইলটি পান তবে আমি বিশ্বাস করি আপনি যা করবেন তা আপনার সমস্ত শংসাপত্র সহ ফোল্ডারে ফেলে দেওয়া হয়, তবে make -f Makefile.crtসেই ফোল্ডারে চালান ।