Создание исключения для SSLVerifyClient требуют

Question

У меня есть apache2 httpd версии 2.2.9, прослушивающий порт 443 при включенном SSLEngine. Все URL имеют SSLVerifyClient require, и это прекрасно работает.

Я хочу сделать исключение для определенного URL-адреса (/ca.crt), чтобы мои клиенты могли загрузить сертификат CA, с которым подписаны сертификаты, которые мы выдаем. Я пробую следующее:

SSLVerifyClient require

Alias /ca.crt /my/ssl/certs/ca.crt
<Location /ca.crt>
  SSLVerifyClient none
</Location>

Моя проблема в том, что Apache, похоже, только хочет повысить силу требования SSL-сертификата клиента. Если я переверну два требования, они будут работать как указано. Как указано выше, Apache фактически игнорирует директиву SSLVerifyClient none.

Что происходит? Это ошибка?

Answer 1

Хорошо, получается, что ответ на этот вопрос есть в документации (как обычно!)

В контексте каждого сервера [директива SSLVerifyClient] применяется к используемый процесс аутентификации клиента в стандартном рукопожатии SSL, когда соединение установлено.

По сути, первая директива SSLVerifyClient была в контексте каждого сервера. Я сделал явное объявление <Directory> для корневого каталога и поместил туда директиву SSLClientVerify require. Это добилось цели.