Конфигурация Apache для использования разных сертификатов для разных локаторов на одном сервере

Question

Для аутентификации клиента мое требование - использовать разные сертификаты для разных URL-адресов локатора на одном и том же IP-адресе.

Например:

Когда клиент подключается к https://a.b.c.d/locatorA,, я хочу аутентифицировать клиента по сертификату A, подписанному CA X,

И если клиент подключается к https://a.b.c.d/locatorB,, я хочу аутентифицировать клиента по сертификату B, подписанному CA Y.

Также любой другой URL на a.b.c.d, аутентификация клиента не требуется.

Чтобы включить проверку клиента на locatorA и locatorB, я устанавливаю SSLVerifyClient в значение true в директиве locator. И по умолчанию SSLVerifyClient установлен как none.

Но проблема, с которой я сталкиваюсь, заключается в том, как указать, использовать ли сертификат A для locatorA и сертификат B для locatorB. Я попытался добавить SSLCertificateFile в директивах локатора для locatorA и locatorB, но apache сообщил об ошибке конфигурации.

Можно ли получить разные сертификаты для разных URL-адресов на одном сервере в зависимости от типа URL-адреса?

Спасибо, Kowsik kowsik.tulabandual@gmail.com

Answer 1

Невозможно напрямую сопоставить разные сертификаты с URL-адресами на одном и том же хосте.

Обычно вы ограничены одним сертификатом на IP.Если вы внедрили SNI , вы могли бы дополнительно сопоставить разные сертификаты с именами хостов под тем же IP.Например, вы можете сопоставить сертификат A с хостом locatorA.example.com.

Если это поможет, вы можете дополнительно перенаправить http://a.b.c.d/locatorA и / или https://a.b.c.d/locatorA (защищенный общим сертификатом X) на https://locatorA.example.com/locatorA (защищенный сертификатом A).

Обратите внимание, что некоторые старые клиенты не поддерживают SNI.