Apache配置爲同一臺服務器上的不同定位器使用不同的證書

Question

對於客戶端認證，我的要求是對同一IP上的不同定位器URL使用不同的證書。

例如：

當客戶端連接到https://a.b.c.d/locatorA，我要驗證對證書A中的客戶端，通過CA X簽署，

如果一個客戶端連接到https://a.b.c.d/locatorB，我想驗證客戶端針對證書B，由CA Y簽名。

還有其他任何關於abcd的URL，客戶端認證是不需要的。

要在locatorA和locatorB上啓用客戶端驗證，我在locator僞指令中將SSLVerifyClient設置爲true。默認情況下，SSLVerifyClient設置爲none。

但我面臨的問題是如何指定使用證書A的locatorA和證書B的locatorB。我嘗試在locatorA和locatorB的locator指令中添加SSLCertificateFile，但是apache表示配置錯誤。

有沒有一種方法可以根據URL類型爲同一服務器上的不同URL頒發不同的證書？

謝謝， Kowsik kowsik.tulabandual@gmail.com

Answer 1

這是不可能在同一主機下直接映射不同的證書到URL。

通常情況下，您僅限於每個IP一個證書。如果您實施了SNI，則可以在相同IP下將不同證書映射到主機名。例如，您可以將證書A映射到主機locatorA.example.com。

如果有幫助，您可以另外將http://a.b.c.d/locatorA和/或https://a.b.c.d/locatorA（由公共證書X保護）重定向到https://locatorA.example.com/locatorA（由證書A保護）。

請注意，一些較老的客戶端不支持SNI。