mod_ssl SSLCACertificatePath Правильное использование или лучший способ обработки нескольких допустимых центров сертификации сертификатов клиентов

Если вам неясно, как создать символические ссылки с хеш-именем, я предлагаю не использовать CACertificatePath, а лучше использовать CACertificateFile вместо. (На самом деле это мое общее предложение: правильно поддерживать CACertificateFile может быть немного больше работы, если у вас много сертификатов CA, которые часто меняются, но у вас, вероятно, не должно быть много сертификатов CA, и они не должны сильно меняться ...) Кроме того, похоже, что упомянутый Makefile исчез из архивов дистрибутива Apache (и общее отсутствие общественного протеста может указывать на то, сколько людей используют метод хранения сертификатов по «пути» :).

С учетом всего сказанного, если вы все еще хотите сделать это, вы можете продолжить в соответствии с тем, что сказал DerfK (либо получите старый Makefile, либо напишите свой собственный скрипт / make-файл, который запускается openssl x509 -noout -hash против всех ваших файлов сертификатов и создает символические ссылки с соответствующими именами).

Я нашел открытая ошибка в соответствии с этим. Помимо загрузки старого выпуска modssl.org, упомянутого в ошибке, и получения из него Makefile, похоже, вы можете получить значение хэша из openssl x509 -in foo.crt -noout -hash хотя неясно, к чему относится часть ".N" (возможно, это было для хеш-коллизий (например, первый сертификат с хешем 12345678 имеет символическую ссылку 12345678.1, указывающую на него, второй сертификат с таким же хешем использует .2? Или, может быть, он начинается с .0?)

Если вы получите Makefile.crt файл из старого modssl, я считаю, что вы бы поместили его в папку со всеми своими сертификатами, а затем запустите make -f Makefile.crt в этой папке.